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Prefata 


Odata cu migrarea pe Internet a tot mai multor activitati ale societatii contemporane, a 
aparut si necesitatea unei alte abordari a securitatii sistemelor IT. Daca in urma cu un 
deceniu securitatea informatica era in mare parte orientata spre produse, avand un 
caracter preponderent defensiv si reactiv, abordarile de succes actuale trateaza 
securitatea ca un proces continuu ce incorporeaza elemente de natura tehnologica, 
procedurala si umana. 


Obiectivul acestei teze este de a oferi un studiu aprofundat asupra problematicii 
complexe a monitorizării securităţii în sisteme si reţele de calculatoare, a amenințărilor 
din spaţiul virtual, a tehnologiilor ce pot fi utilizate în construirea soluţiilor de 
monitorizare, de a identifica şi evalua practicile şi procedurile necesare în 
implementarea şi operarea unor astfel de soluții, precum si de a evalua noi modele 
teoretice cu scopul de a adresa anumite limitări existente în soluţiile tehnologice 
actuale. 


Pentru a conferi o aplicabilitate ridicată rezultatelor cercetării, cadrul de studiu al 
problematicii, tematica abordată, precum şi construirea modelelor de evaluare a noilor 
teorii a fost centrată în jurul nevoilor şi problemelor tipice organizaţiilor care au o 
componentă de operare în spațiul digital. 


Omul a facut Internet-ul dupa chipul si asemánarea sa. 
- Autor Necunoscut 


INTRODUCERE 


in 2001, Lawrence K. Gershwin (National Intelligence Officer pentru Stiinta si 
Tehnologie în cadrul US National Intelligence Council) afirma că „tehnologiile 
informationale reprezinta cea mai importanta transformare globala de la inceputul 
revoluţiei industriale (mijlocul secolului al 18-lea)” [GERO1]. La acel moment afirmaţia 
mi s-a parut fortatá, insá dupa 10 ani in care am asistat la proliferarea accentuata a 
tehnologiilor informationale in toate domeniile vietii sociale, si in toate colturile lumii, la 
influenta acestora asupra unor procese majore (globalizarea economica, comertul 
electronic, externalizarea pe scara larga a resurselor umane) sau evenimente din 
domenii cat mai diverse (unul de ordin recent fiind „Primăvara arabă din 2011”), inclin 
sá-mi reconsider opinia initiala. 


Utilizarea pe scara larga a tehnologiilor informationale, a determinat aparitia unui nou 
spaţiu de desfăşurare a multora dintre activităţile umane - numit adesea spațiul virtual 
(cyberspace). Elementele de ordin infracţional si confruntational ale lumii fizice nu au 
făcut excepție la aceasta transpunere a activităților în spaţiul virtual, proliferarea 
activităților malitioase fiind înlesnită de limitările structurale existente la nivelul 
arhitecturii Internet-ului, precum şi de un şir neîntrerupt de vulnerabilitáti datorate unor 
factori precum: existența unui segment important de utilizatori Internet care încă ignoră 
măsuri elementare de securitate a sistemelor pe care le folosesc, adoptarea de către 
organizaţii a unor practici de securitate limitate sau ineficiente, complexitatea crescută 
a aplicaţiilor, considerente de piaţă ce determină companiile producătoare de software 
de a livra soluțiile cât mai rapid, limitând astfel timpul de testare, precum şi adoptarea 
de soluţii ce sacrifică securitatea pentru a oferi simplitate în utilizare. 


Securitatea sistemelor şi rețelelor este un element fundamental pentru funcţionarea 
Internet-ului, ea permiţând totodată transformarea acestuia dintr-un proiect de 
cercetare academic, într-o infrastructură de bază a societăţii zilelor noastre. 
Dependenţa de tehnologiile informaţionale a creat noi categorii de vulnerabilitáti pentru 
alte componente ale infrastructurii sociale, iar un atac major asupra Internet-ului va 
crea nu numai întreruperi în ceea ce priveşte comunicațiile, ci va avea implicaţii şi 
asupra altor infrastructuri critice (transporturi, energie, bancară, etc.). De aceea, 
securitatea infrastructurii Internet-ului a căpătat atenţie deosebită în toate zonele 
sociale (academic, media, corporaţii, militar, politic, etc.). 


În ciuda progreselor făcute în zona securizării tehnologiilor Internet, marea majoritatea 
a soluţiilor de securitate, bazate exclusiv pe suport tehnologic, a continuat să fie în 
continuare ineficace, realizându-se treptat că securitatea în spațiul virtual este în 
esenţă o problemă umană. Astfel, practici de securitate pe care societatea umană le-a 
desăvârşit de-a lungul istoriei sale au început să fie transpuse si în spaţiul virtual. 


Definirea Problemei 


Datorita complexitatii si dinamicii schimbárilor pe planul tehnologiilor IT, precum si a 
cresterii diversitátii si complexitatii amenintarilor la adresa oricárei organizatii conectate 
la Internet, strategiile de securitate construite exclusiv pe mecanisme de protectie sunt 
sortite esecului. Abordarea securitátii ca proces, si dintr-o perspectivá proactivá, 
orientatá spre identificarea si alertarea timpurie asupra potentialelor amenintari, sau 
atacurilor aflate in faze initiale, poate oferi timpul necesar elaborárii unui ráspuns 
eficace inainte ca organizatia sa fie afectata. 


Asigurarea eficacitátii oricárui gen de proces (inclusiv procesul de securitate), 
presupune adesea definirea si implementarea unei componente care sá urmáreascá 
constant evolutia procesului, astfel incat sa se poata efectua in timp util corectii si 
actualizári ca ráspuns la schimbárile ce au loc in mediul de operare. 


Pe baza analizei datelor oferite de rapoartele Verizon Data Breach din ultimii ani, se 
poate determina faptul cá majoritatea breselor de securitate sunt rezultatul ignorantei 
sau al tratárii securitátii ca ,produs" (odata achizitionat, se asteapta sa functioneze pe o 
duratá indelungata fara interventie). Spre exemplu, in raportul din 2011 se arata ca 
86% dintre atacuri au fost descoperite de o terta parte, 96% puteau fi evitate prin 
implementarea de controale de securitate de nivel simplu sau intermediar, iar in 8396 
din cazuri atacatorul a profitat de existenta unor anumite de deficiente de securitate 
[Ver10]. 


O abordare procesuala care sa asigure o vizibilitate asupra componentelor cu relevanta 
în procesul de securitate, este monitorizarea securității. Aceasta se defineşte ca fiind 
abilitatea de a colecta, şi analiza în timp util evenimentele şi informaţiile de securitate 
disponibile la nivelul organizaţiei, atât din surse interne şi externe, în scopul elaborării 
unui răspuns eficace la ameninţări şi atacuri. 


Ca şi în cazul altor componente ale procesului de securitate, pentru o implementare şi 
utilizare adecvată şi eficientă a monitorizării securităţii, organizaţia trebuie să elaboreze 
în prealabil o politică de monitorizare, şi un program de monitorizare care va gestiona 
elementele de ordin tehnologic, procesual si organizational implicate în procesul de 
monitorizare a securității. 


Deşi anumite elemente ale procesului de monitorizare au fost prezentate în literatura 
de specialitate de-a lungul ultimilor ani, există limitări în ceea ce priveşte 
interoperabilitatea tehnologiilor de detecție, procesele de evaluare a eficienţei 
controalelor folosite, integrarea tehnologiilor şi proceselor, abordarea unitară a surselor 
cu relevanţă de securitate, şi eficienţa analizei evenimentelor de securitate când datele 
au un grad ridicat de incertitudine. Toate acestea au constituit motive întemeiate în 
alegerea temei de cercetare stiintifica si pentru elaborarea tezei de doctorat. 


Abordarea în prezent a monitorizării securității în rețele şi sisteme de calcul reprezintă 
un subiect foarte bine ancorat în tendințele, relevante pe plan mondial, din domeniul 
larg al securității informaționale. Este printre primele teze de doctorat din lume care se 
ocupă exclusiv de domeniul monitorizării securităţii, din perspectiva complexităţii şi a 
unor cerinţe ridicate, specifice programelor moderne de cercetare ştiinţifică. 


Metodologia de cercetare 


Pentru elaborarea tezei de doctorat s-a folosit urmátoarea metodologie de lucru: s-au 
studiat numeroase articole, documentatii, standarde, cárti etc. cu factor de impact 
ridicat si de actualitate, care analizeazá si descriu multiple aspecte din sfera 
monitorizárii securitatii. 


S-au tratat subiecte neabordate in literatura de specialitate de la noi din tará, cát si din 
stráinátate (de exemplu, elaborarea unui cadru pentru definirea de metrici de securitate 
a retelelor si sistemelor din perspectivá organizationalá, sau cercetarea aplicabilitátii in 
domeniul monitorizárii securitátii a teoriilor matematice ce trateazá fuziunea datelor cu 
incertitudine ridicatá), s-au preluat cát mai multe surse bibliografice, s-a fácut o 
unificare terminologica si o structurare a lor, obtinándu-se in final o abordare complexá 
şi unitară, utilizată în definirea conceptului de monitorizare a securităţii. Acestei 
abordări i s-au adăugat actualizări şi completări, îmbunătăţiri şi contribuţii originale 
(prezentate în capitolul 6), o parte experimentală care cuprinde construirea modelului 
de testare, generarea traficului de testare, elaborarea programelor de procesare a 
datelor, scheme şi grafice, precum si studii de caz referitoare la monitorizarea spațiului 
de ameninţări în Internet. 


Rezultatele obținute au fost posibile şi datorită activităţii intense de cercetare în 
domeniul securităţii informatice desfăşurate în laborator, a participării şi comunicării la 
numeroase conferințe şi manifestări ştiinţifice, a efectuării unor cursuri de pregătire şi 
de specializare în străinătate la firme şi institute de prestigiu, precum şi colaborării 
permanente cu personalul academic din Academia Tehnică Militară precum şi alte 
institute de cercetare şi învățământ superior din România, Canada, Franţa şi SUA. 


Principalele direcții de cercetare ştiinţifică abordate în cadrul tezei au fost: 

e Elaborarea unui cadru de studiu al problematicii diverse si complexe legată de 
monitorizarea securităţii 

e Starea actuală de securitate în Internet: terminologia de securitate si 
monitorizare a securităţii, analiza spaţiului de ameninţări si vulnerabilitáti, clase 
şi scheme de atac; 

e Politici şi procese de securitate: programul de monitorizare a securităţii, cadrul 
de metrici de evaluare a stării de securitate, oportunităţi pentru îmbunătăţirea 
proceselor de securitate 

e Tehnologii de monitorizare a securităţii: tehnologii de detecție, de scanare a 
vulnerabilitátilor, verificare a conformării cu politica de securitate, spaţiul de 
ameninţări, oportunităţi de îmbunătăţire a tehnologiilor 

e Arhitecturi de monitorizare: Integrarea multiplelor componente tehnologice, si 
procesuale, considerente asupra generării evenimentelor de securitate, colectării 
şi formatării, datelor analiza şi prezentarea datelor, răspunsul la incidentele 

e Posibilităţi de utilizare a noi modele matematice pentru a adresa limitări ale 
tehnologiilor curente în procesarea datelor de securitate ce prezintă un nivel 
ridicat de incertitudine şi conflict. 


Organizarea tezei de doctorat 


Teza de doctorat, elaboratá pe parcursul a peste 180 de pagini, debuteazá cu aceastá 
sectiune introductivá, urmatá de 5 capitole dedicate unor aspecte tehnologice si 
procesuale implicate in procesul de monitorizare a securităţii, şi se încheie cu o 
evaluare finală a rezultatelor şi contribuţiilor, cu un capitol de concluzii, precum şi cu 
bibliografia utilizată. Lucrarea conţine peste 220 de referinţe bibliografice circumscrise 
temei, precum şi o listă cu cele mai semnificative lucrări realizate şi publicate de autor 
în domeniul tezei, în număr de 21. De menţionat faptul că, unele dintre aceste lucrări s- 
au bucurat de o apreciere deosebită din partea comunității ştiinţifice internaţionale până 
în prezent, fiind citate în 2 teze de doctorat, 4 teze de master, şi 9 articole publicate în 
jurnale şi reviste de specialitate. 


Capitolul 1 este dedicat stării actuale de securitate în Internet. În prima parte se 
definesc conceptele generale de securitate şi relaţiile dintre acestea, dupa care se 
prezintă clasele majore de vulnerabilitáti şi fazele tipice prin care un atacator 
compromite un sistem. În continuare se descriu activităţile asociate fiecărei faze de 
compromitere detaliindu-se tehnicile de scanare, clasificarea atacurilor, precum şi 
modul de desfăşurarea a acestora. In finalul capitolului 1 se defineşte componenta de 
monitorizare a securităţii, precum şi rolul şi locul său în cadrul procesului de securitate. 
În acest capitol se propun următoarele contribuţii: definirea unui cadru pentru detecția 
intruziunilor şi a procesului de monitorizare asociat acestuia, schematizarea atacurilor 
tipice pe bază de mesaje de poştă, analiza comparativă a tehnicilor de scanare utilizate 
în propagarea viermilor în Internet 


Capitolul 2 vizează metodologia de creare a unui program de monitorizare a securității 
plecând de la analiza managementului de risc în organizaţie. Sunt prezentate elemente 
precum stabilirea strategiei de monitorizare, stabilirea de măsurători şi metrici, precum 
şi politici de securitate specifice fiecărui nivel din organizaţie. Capitolul 2 continuă cu 
prezentarea procedurilor de răspuns la incidente precum si de revizuire şi actualizare 
pe o bază continuă a procesului de monitorizare a securităţii. In cadrul acestui capitol 
se propun următoarele contribuţii: Elaborarea unui cadru pentru definirea de metrici de 
securitate, definirea şi evaluarea unui cadru pentru partajarea informaţiilor de intruziune 
la nivel global, precum şi definirea unui model de monitorizare completă a securităţii ce 
include toate elementele cu relevanţă pentru procesul de securitate. 


Capitolul 3 prezintă clasele de tehnologii de monitorizare disponibile în acest moment 
pentru implementarea un program de monitorizare completă a securității la nivelul 
securităţii. Se continuă apoi cu prezentarea tehnologiilor de scanare a vulnerabilitátilor 
şi tehnologiile de detecție a intruziunilor bazate pe anomalii, semnături, metode hibride, 
precum şi pe analiza fişierelor de jurnalizare, monitorizarea integrităţii fişierelor şi 
sistemelor. În partea finală a capitolului 3 sunt tratate tehnologii specifice de 
monitorizare pentru rețele mari având ca scop identificarea amenințărilor majore pentru 
infrastructura Internetului. Capitolul se încheie cu un studiu de caz asupra monitorizării 
amenințărilor din spaţiu virtual pe bază de date provenind din surse publice. Se propun 
următoarele contribuţii: sintetizarea şi elaborarea unei evaluări asupra tehnologiilor de 
culegere a datelor utilizate în procesul de monitorizare a securităţii, elaborarea unui 
studiu comparativ si a unei caracterizări structurale a tehnologiilor de detecție a 
intruziunilor şi a implementărilor de sisteme IDS, evaluarea tehnicilor de urmărire a 
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atacurilor DDoS, precum si un studiu de caz pentru analiza spatiului de amenintári pe 
baza datelor publice oferite de sistemele de monitorizare globala in Internet. 


Capitolul 4 este dedicat arhitecturii de monitorizare a securitátii stabilità pe baza 
modelelor OSSIM, Counterpane si MCI Sentry. Se descriu componentele de bazá ale 
arhitecturii: surse de evenimente, colectoare, baza de date cu mesajele de securitate ín 
format comun şi baza de cunoştinţe, precum şi modulele de analiză si aplicaţiile pentru 
suportul răspunsului la incidentele de securitate identificate. Concomitent cu descrierea 
fiecărei componente se prezintă şi consideraţii cu privire la performanţele şi limitările 
acestora precum şi aspecte legate de integrarea diverselor componente şi tehnologii. O 
atenţie deosebită în acest capitol se acordă tehnicilor de corelaţie care sunt utilizate în 
modulele de analiză ale arhitecturii. În cadrul acestui capitol se propun următoarele 
contribuţii: elaborarea unei arhitecturi generice de monitorizare a securitáti, precum şi a 
unui set de consideraţii pentru faza de implementare a arhitecturii, elaborarea unui 
studiu asupra tehnicilor de corelaţie a datelor în procesul de monitorizare a securităţii, 
studiul şi evaluarea amenințărilor şi riscurilor la adresa arhitecturii de monitorizare. 


Capitolul 5 este destinat studierii de noi modele matematice pentru adresarea mai 
eficientă a cazurilor în care datele de monitorizare prezintă un grad ridicat de 
incertitudine sau conflict. Se prezintă un cadru de identificare a imperfectiunii datelor 
din sfera monitorizării securităţii plecând de la clasificarea imperfectiunii informațiilor 
realizată de Smet. Apoi, se introduc modele matematice precum Teoria Dempster- 
Shafer şi Teoria Dezert-Smarandache (TDSm) pentru fuziunea informaţiilor ce prezintă 
un grad ridicat de incertitudine. In partea finală a capitolului 5 se urmăreşte verificarea 
aplicabilitatii TDSm în eficientizarea detectiei intruziunilor în condiţii de incertitudine 
ridicată. Pentru aceasta s-a construit un model experimental în care date de trafic 
legitim şi atac sunt generate în regim controlat. Acestea sunt observate de un sistem 
IDS (Snort), care la rândul său generează alerte cu priorități diferite. Pe baza acestor 
alerte se creează evenimente asociate unui spaţiu de discernământ şi care se combină 
pe baza a diferite reguli de fuziune (Shafer, PCR5, DSmH). Validarea a constant în 
verificarea concordantei între realitate şi rezultatul generat de pe baza regulilor de 
fuziune, precum şi rapiditatea de detecție a schimbărilor care apar în mediu. În cadrul 
acestui capitol se propun următoarele contribuţii: construirea unui cadru de identificarea 
imperfectiunii datelor în sfera monitorizării securităţii, studiul în premieră al DSmT în 
vederea utilizării în domeniul monitorizării securităţii, precum şi crearea unui model 
experimental de evaluare a aplicabilitátii TDSm în zona monitorizarea securității. 


Capitolul 6 prezintă o sinteză a rezultatelor ştiinţifice şi a contribuţiilor obținute în 
perioada de pregătire a doctoratului şi de elaborare a tezei. 


Capitolul 7 este dedicat analizei îndeplinirii obiectivelor propuse, prezintă concluziile 
finale rezultate, precum şi direcţiile viitoare de continuare a cercetării în domeniul 
securității monitorizării şi a altor domenii de securitate conexe. 
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Motto: Daca ifi cunosti inamicul si pe tine, nu trebuie 
sa te ingrijorezi de rezultatele a o suta de bátálii. 
- Sun Tzu 


CAPITOLUL 1 


SECURITATEA ACTUALA IN INTERNET 


Datorita importantei crescute a activitátilor desfasurate in spatiul virtual, securitatea 
informationalá a atras o atentie sporita atát din partea cercetatorilor in domeniu, a 
organizatiilor conectate la Internet, dar si a mediilor de informare in masá. Schimbárile 
constante in plan tehnologic, au generat adesea interpretári variate ale conceptelor si 
terminologiei de securitate. 


În acest capitol se vor prezenta concepte generale de securitate si o descriere a 
spatiului de vulnerabilitáti si amenintari tipice la adresa organizatiilor si utilizatorilor ce 
opereazá in spatiul virtual. 


1.1 Concepte generale de securitate 


Asemenea tuturor domeniilor de securitate, securitatea in spatiul virtual opereazá cu 
urmátoarele concepte: amenintári, vulnerabilitáti, riscuri, bunuri, etc. Aceste concepte 
generale, precum si relatiile dintre ele sunt ilustrate in figura 1.1 [CC99]. 


În contextul securităţii în spaţiul virtual, o ameninţare poate fi definită ca fiind prezenţa 
unui potenţial eveniment care ar putea avea efecte negative prin violarea unui 
mecanism de securitate. Vulnerabilitatea se defineşte ca fiind o slăbiciune a 
infrastructurii sau sistemului ce poate permite violarea securităţii. Riscul reprezintă 
gradul de pericol sau probabilitatea de pierderi sau distrugere, a informaţiilor 
proprietare şi/sau a sistemelor de calcul utilizate în procesarea, transmiterea si 
stocarea acestor date. Bunurile reprezintă entități (cum ar fi: hardware, software, date, 
personal uman, etc.) pe care organizaţia sau utilizatorul le valorizează şi care constituie 
tinta unui atac [Pfl1 1]. 


Agentii de amenintare provin din surse multiple si au motive, obiective, capabilitati 
dintre cele mai variate. Acestia pot fi: angajati ai organizatiei, servicii de spionaj, 
hackeri, grupuri extremiste si teroriste, grupuri de activism, grupuri de crimá organizatá, 
competitori, etc.. Un atac (sau incident de securitate) in spatiul virtual este 
materializarea unei amenințări, si reprezintă acţiunea ilegală, neautorizată, sau 
inacceptabilă, care implică un sistem de calcul sau o reţea de calculatoare, prin care o 
entitate internă sau externă compromite aşteptările de securitate ale utilizatorului sau 
organizaţiei [Man03]. 


Formalizarea modului de identificare a vulnerabilitátilor şi evaluarea riscului, a măsurilor 
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(controalelor) luate pentru a contracara amenintárile din spatiul virtual si minimizarea 
riscurilor, stabilirea membrilor organizatiei cu atributii in procesul de implementare, se 
vor regási intr-un set de documente ce definesc politica de securitate. Politica de 
securitate este mijlocul prin care o organizatie asigurá managementul implementarii si 
eficacitatea securitatii [Jon10]. 


valorizeaza 
Proprietari doresc sa minimizeze 
impun 
p pentru a reduce 
Contramasuri 
E care pot 


Vulnerabilitati 


Agenti de 
amenintare 
genereaza 
Amenintari Resurse/Bunuri 


doresc sa abuzeze si/sau distruga 


Figura 1.1 - Concepte de securitate conform CCIMB-99-031 [CC99] 


1.2 Vulnerabilitáti în retele si sisteme de calcul 


Vulnerabilitáti existá in orice retea sau dispozitiv incluzánd rutere, swich-uri, statii client 
sau server, si chiar dispozitive de securitate [Gre11]. Vulnerabilitátile pot fi datorate 
configurației, politicii de securitate, utilizatorilor şi tehnologiei [PNN10]. Vulnerabilitátile 
tehnologice sunt datorate deficienţelor structurale de securitate la nivelul suitei de 
protocoale de comunicaţie TCP/IP sau a implementărilor acestora, deficienţelor de 
securitate în sistemele de operare sau ale echipamentelor de rețea. Administratorii de 
sistem şi de rețea trebuie să cunoască problemele specifice de configuraţie pentru 
echipamentele şi sistemele pe care le gestionează pentru a fi create intrări în politica 
de securitate pentru verificarea configuratiilor. Managementul necorespunzător al 
politicii de securitate (actualizári incorecte sau neefectuate la timp) conduce la riscuri 
sporite. 


1.2.1 Protocoalele de comunicatie TCP si UDP 


Protocoalele de comunicatie in Internet au fost proiectate pentru a permite o 
comunicare simpla si rapidá intre sisteme, fara a incorpora elemente de securitate. 
Referitor la acest aspect, unul din creatorii Internetlui, Vint Cerf (in prezent Vice 
President & Chief Internet Evangelist la Google), a mentionat: "dacá as avea 
posibilitatea sa proiectez reteaua din nou, as incorpora capabilitáti de autentificare 
automata astfel incat pachetele de la sursa catre destinatie sa aibá semnatura digitala 
a utilizatorului. Aceasta nu s-a putut face atunci [cand am proiectat Internet-ul] 
deoarece tehnologia nu exista.” [Cerf04] 
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Primul nivel de atac presupune descoperirea serviciilor existente în rețeaua ţintă. 
Aceasta implică o serie de tehnici disponibile atacatorului pentru a obţine informații 
despre rețeaua vizată cu ar fi [PPN05-02]: 
e Sondári ping (ping sweeps) — sondarea unui grup de adrese IP pentru a 
determina staţiile active 
e Scanári TCP/UDP — prezentate pe larg în secţiunea 1.4 
e Identificarea sistemului de operare — Dorită particularitatilor de implementare a 
stivei de protocoale de către fiecare producător, pe bază analizei pachetelor 
TCP schimbate cu o staţie, se poate determina tipul de sistem de operare şi 
eventual versiunea acestuia. Această informaţia poate fi utilă atacatorului în a 
înțelege rolul sistemului respectiv, şi serviciile ce pot rula pe acesta. 


1.2.2 Posibilitatea de manipulare a datelor din pachetul IP 


Deoarece adresa sursa din pachetul IP nu este folosită în procesul de rutare către 
destinaţie, atacatorul poate falsifica (spoof) această informaţie şi abuza maşina ţintă 
ascunzându-şi identitatea. Acest tip de vulnerabilitate este exploatată cu predilecție de 
atacurile de tip Denial of Service (DoS). 


1.2.3 Proiectări de soluții neadecvate ce permit scurgeri de informații 


Acesta este cazul integrării unor tehnologii pentru a adresa adesea nevoi de 
eficientizare în organizaţie, dar care pot genera noi vulnerabilitáti. 


Un exemplu în acest sens este accesibilitatea informaţiilor director. Pentru a valida 
legitimitatea adresei destinatar din mesajele de poştă, multe organizaţii au integrat 
serviciile ce rulează pe staţiile gateway (ce recepționează poşta) cu serviciile director 
(cum ar fi LDAP/Active Directory) ale organizaţiei. Dacă adresa destinatarului este 
validă, mesajul este acceptat spre livrare. Dacă adresa nu există, expeditorul este 
notificat despre acest lucru. Atacurile de culegere a informaţiilor director - DHA 
(Directory Harvest Attacks) exploatează această vulnerabilitate prin trimiterea de 
mesaje către o listă posibilă de adrese de poştă din domeniul ţintă. Pentru mesajele 
pentru care nu se primeşte notificarea de invaliditate a adresei se poate asuma că sunt 
legitime, putând fi folosite într-un viitor atac. O soluţie pentru acest tip de vulnerabilitate 
ar fi ca serverul să proceseze mesajele cu adresă invalidă, însă aceasta are ca rezultat 
un volum din ce în ce mai mare de procesare pentru organizaţie [PPNO6-02]. 


1.2.4 Vulnerabilitáti la nivelul protocoalelor de nivel aplicaţie 


De-a lungul timpului au fost semnalate o serie de vulnerabilitáti în protocoalele native 
de poştă electronică (SMTP, IMAP şi POP), Web (HTTP), cum ar fi: susceptibilitate 
ridicată la atacurile de tip dicţionar (POP şi IMAP), transmiterea traficului de date şi 
autentificare în clar (vulnerabilitate exploatată de sniffere), lipsa unui mecanism nativ 
de autentificare pentru SMTP (exploatat de atacurile de tip SPAM şi phishing), 
existenţa încă pe scară largă a multor servere SMTP configurate să accepte mesaje de 
la orice utilizator (open relay), şi nu în ultimul rând o suită de bug-uri în diferitele 
implementări ale acestor protocoale (exploatate adesea de atacurile de tip buffer 
overflow) [PPNO4] . 
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1.2.5 Vulnerabilitáti la nivelul sistemelor de operare 


Sistemele de operare de tip Windows suportá o largá gamá de servicii, metode si 
tehnologii lucru in retea. Multe din aceste componente sunt implementate ca Programe 
de Control a Serviciilor aflate sub controlul unui Manager de Control al Serviciului ce 
rulează sub numele de Services.exe. Vulnerabilitatile in aceste servicii care 
implementeaza functionalitáti ale sistemului de operare reprezinta una din cele mai 
intálnite cái de abuzare a statiilor ce ruleazá sisteme Windows. 


Vulnerabilitátile de tip buffer overflow exploatabile de la distantá continua sa fie o 
problema serioasă de securitate care afectează serviciile Windows. O parte din 
serviciile sistem de bazá ofera interfete clientilor din retea prin mecanismul RPC 
(Remote Procedure Calls). Alte servicii Windows implementeazá interfete de retea pe 
baza altor protocoale, inclusiv a celor standard cum ar fi SMTP, NNTP, HTTP, etc. 
Multe din aceste servicii pot fi exploatate de sesiuni de tip anonim (sesiuni cu nume 
utilizator si parolá nule) pentru a executa cod cu privilegii "SYSTEM" [PPNO5-01]. 


Produsele initiale Windows aveau activate implicit multe din aceste servicii pentru a 
asigura o convenienta utilizatorilor cu cunostinte limitate. Insá aceste servicii, adesea 
neutilizate de cei mai multi dintre utilizatori, aduc riscuri de securitate suplimentare. 


În ceea ce priveşte sistemele UNIX/Linux, acestea includ în configuraţia iniţială un 
număr de servicii standard care pot fi exploatabile datorită configurării inadecvate. 


1.2.6. Vulnerabilitáti la nivelul serviciilor de infrastructură ale Internetlui 


Un exemplu de serviciu critic pentru infrastructura Internetlui este DNS. Acesta 
găzduieşte înregistrările de tip MX utilizate în rutarea mesajelor de poştă către 
domeniul destinaţie, cât şi înregistrări de tip adresă ale altor sisteme ce oferă servicii de 
rețea (Web, autentificare, VPN). DNS ca multe alte protocoale de bază ale Internetlui 
datează din perioada iniţială caracterizată de încredere mutuală. Acest model de 
încredere nu mai este de actualitate, iar tranzacţiile DNS pot fi viciate de atacuri de tip: 
cache poisoning, domain hijacking, şi redirectie man-in-the-middle [PPNOS9]. 


Unele din metodele propuse de autentificare a mesajelor de postá cum ar fi Sender 
Policy Framework (SPF), SenderlD, Domain Keys, Cisco Identified Internet Mail au la 
bază verificarea domeniului destinatarului utilizând serviciul DNS în actuala forma sau 
modificată. Pentru a limita cazurile de impersonare a serverelor de web, se recomandă 
utilizarea certificatelor de securitate, securizarea serviciului DNS, etc. Totuşi sunt multe 
organizaţii care încă nu folosesc astfel de soluții. 


1.2.7 Vulnerabilitáti la nivelul aplicaţiilor 


Outlook Express este aplicatia client de posta instalata pe toate versiunile de sisteme 
Windows. Vulnerabilitátile in acest produs pot fi exploatate pe baza urmátorilor vectori 
de atac [PNO6]: 


Atacatorul poate trimite într-un mesaj de poştă un document Office malitios care este 


rulat de client. Acest vector de atac este exploatat de viruşi şi de o anumită categorie 
de viermi (worms). 
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Atacatorul poate rula un server de stiri (News) care trimite ráspunsuri malitioase pentru 
a genera buffer overflow in aplicatiile client de posta. 


Vulnerabilitátile la nivelul clientilor de navigare (IE, Firefox, Google Chrome, etc) pot fi 
exploatate in cazul ín care utilizatorul acceseazá locatiilor web ce contin scripturi 
(JavaScript, PHP, ASP) ce implementeazá astfel de exploatári. Google (ce ruleazá 
principalul motor de cáutare) realizeazá o scanare a continutului paginilor indexate, 
insá posibilitatea de acces indirect (prin alte site-uri) permite eludarea acestui 
mecanism de protectie. 


De-a lungul timpului au fost identificate vulnerabilitáti afectand mai toate categoriile 
reprezentative de aplicatii utilizate in Internet cum ar fi: cele de accesare continut 
media (Adobe Flash), aplicaţiile de transmitere mesaje instant (Yahoo! Messenger, 
AOL Instant Messenger, MSN Messenger, Jabber, Trillian, Skype, Google Talk sau 
IRC), şi chiar aplicaţiile antivirus (AhnLab, Avast!, AVIRA, BitDefender, ClamAV, 
Computer Associates, F-Secure, Kaspersky, Mcafee, Sophos, Symantec, Trend Micro 
sau ZoneAlarm). Chiar daca aceste vulnerabilitati nu vizeaza in mod direct securitatea 
serviciilor de bază in reţea, prin preluarea controlului asupra staţiilor afectate de acest 
gen de vulnerabilitáti, securitatea altor servicii poate fi compromisă. 


1.2.8 Configurarea necorespunzătoare a aplicaţiilor şi sistemelor 


Vulnerabilitátile in configurarea echipamentelor, aplicaţiilor şi sistemelor de operare pot 
fi clasificate după cum urmează [PPNO6-01]: 

e Configuratii implicite. Majoritatea aplicaţiilor şi sistemelor ajung la utilizatorii finali 
având o configuraţie ce urmăreşte o funcţionalitate cât mai sporită şi utilizare cât 
mai simplă. Din păcate acest gen de configurații expun sistemul la riscuri 
considerabile. Practica a arătat că staţiile sau ruterele wireless de casă în 
configuratiile initiale poate fi compromise în foarte scurt timp. 

e Parole administrator nule sau implicite. Multiple teste de vulnerabilitate au arătat 
că un număr surprinzător de mare de sisteme şi aplicaţii atât în rândul reţelelor 
de organizaţie cât şi în rândul utilizatorilor de casă suferă de această problemă. 

e Erori de administrare. Necunoasterea sau simple erori umane pot conduce la 
situaţii în care aplicaţia, sau sistemul sunt configurate necorespunzător. Odată 
cu răspândirea pe scară largă a accesului utilizatorilor la conexiuni de bandă 
largă şi construirea de mini reţele de casă, există riscul ca un număr mare dintre 
sistemele si rețele necorespunzător administrate să intre sub controlul 
atacatorilor, putând fi folosite pentru atacul asupra altor reţele. 


1.2.9 Factorul uman 


Realitatea a demonstrat în repetate rânduri că oamenii nu conştientizează îndeajuns 
importanţă informaţiilor pe care le deţin şi sunt neglijenti în ceea ce priveşte protecția 
acestora. Intruziunile de natura non-tehnică ce se bazează în principal pe interacţiunea 
umană şi urmăresc inducerea în eroare a utilizatorilor în scopul încălcării procedurilor 
de securitate uzuale fiind cunoscute în literatura de specialitate sub numele de inginerie 
socială. 


Agenţii de ameninţare determinaţi (cum ar fi cei care operează în sfera spionajului 
industrial) posedă cunoştinţe ale psihologiei umane şi abilitati comunicationale 
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deosebite ce pot exploata vulnerabilitátile factorului uman pentru a obtine informatii 
greu accesibile prin mijloace exclusiv tehnice. Expertii de securitate estimeazá cá pe 
masura ce societatea devine din ce in ce mai dependenta de informatii, ingineria 
socială va rămâne cea mai importantă ameninţare la adresa oricărui sistem de 
securitate. Protecţia presupune conştientizarea utilizatorilor asupra valorii informaţiilor, 
instruirea în ceea ce priveşte mijloacele de protecţie şi a modului în care inginerii sociali 
operează. Utilizarea pe scară largă a rețelelor de socializare (cum ar fi Facebook, 
MySpace), înlesneşte culegerea de informaţii personale, permițând elaborarea de 
atacuri direcționate de culegere de informaţii. 


1.3 Fazele de compromitere 


Pentru a detecta intruziunile, trebuie înțelese acţiunile necesare pentru compromiterea 
unei tinte. Cele cinci faze descrise în continuare reprezintă o modalitate prin care un 
atacator poate prelua controlul asupra unei victime. Scenariul prezentat mai jos 
urmăreşte atacurile generate din afară care sunt mult mai frecvente şi reprezintă o 
problema majoră pentru organizaţii [PPNO7-01]. Conform raportului annual despre 
breşele de date analizate de firma Verizon în 2010, 9296 dintre acestea au fost 
generate de agenti externi organizaţiei. 


Recunoaşterea — reprezintă procesul de validare al conectivitátii, verificare a serviciilor 
active şi identificare a aplicaţiilor vulnerabile. Atacatorii care verifică vulnerabilitatea 
unui serviciu înainte de a căuta să exploateze tinta, au o mai mare probabilitate de 
succes. Recunoaşterea ajută atacatorul în planificarea atacurilor într-o manieră cât mai 
eficient posibilă. Recunoaşterea poate fi condusă prin mijloace tehnice precum şi non- 
tehnice cum ar fi obținerea de informaţii incorect distruse, sau de la persoane din 
interior dornice să ofere informaţii. Dintre tehnicile de colectare prealabilă de informații 
despre ţintă din surse publice se amintesc: 

e Căutări avansate pe web, forumuri — un exemplu în acest sens este utilizarea de 
opţiuni avansate ale motoarelor de căutare pentru a beneficia de scurgeri de 
informaţii (de exemplu: utilizarea opțiunii allintitle: “index of /" site:.mta.ro la o 
căutare Google) datorate erorilor de postare sau management a documentelor 
în organizaţia ţintă. 

e Rețele de socializare - în cazul în care tinta este o persoană 

e Interogári DNS — utilizând aplicaţii simple precum nslookup. 

e Interogari Network Information Centers (NICs) - bazele de date WHOIS 

e Sondarea SMTP - simpla trimitere a unui email la o adresă inexistentă în 
domeniul ţintă oferă adesea informaţii utile despre rețeaua vizată. 


Exploatarea — reprezintă procesul de utilizare neautorizată, subversivă sau de creare 
de brese în serviciile de pe staţia ţintă. 


Preluarea controlului — reprezintă faza în care atacatorul caută să obțină capabilități 
suplimentare asupra țintei. In timp ce unele exploatări conduc către obţinerea de 
privilegii de nivel superuser, altele oferă doar acces la nivel utilizator. Atacatorii caută 
să găsească modalităţi pentru a obţine privilegii mai mari pe staţia ţintă. De asemenea, 
atacatorul va urmări ştergerea informaţiilor din fişierele de log, adaugă conturi 
neautorizate şi distruge orice informaţie (procese, fişiere) care evidenţiază prezenţa sa 
ilegitimă. Unii atacatori pot instala şi mijloace de comunicare cu exteriorul ( back 
doors). 
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Consolidarea — are loc cánd atacatorul comunicá cu victima prin intermediul back 
doonui. Back door-ul poate lua forma unui serviciu de ascultare la care atacatorul se 
conecteazá. Odatá ce sunt amplasate canalele de comunicatie acoperite intre atacator 
si victimá, abilitatea sistemelor de detectie sau a analistului de securitate de a detecta 
astfel de trafic este pusá la mare incercare. In aceasta fazá atacatorul are control 
complet asupra tintei, singurele limitári sunt impuse de dispozitivele de filtrare a 
traficului din retea intre atacatori si victime. 


Abuzul — reprezintă materializarea obiectivului atacului. Aceasta poate fi: furtul de 
informaţie, construirea unei baze de atac către alte staţii din organizaţie, sau orice 


altceva ce atacatorul urmăreşte. 


Faza de Descriere Probabilitat Avantaje de partea Avantaje de partea 
compromitere ea de atacatorului apărării 
detecție 
Enumerare statii, Medie către | Atacatorii efectuează Atacatorul se 
Recunoaşterea SE EE d See Saati 
servicii si versiuni mare descoperiri de statii si desconspirá prin 
de aplicatie servicii pe durata de diferentele intre 
timp indelungata traficul lor si traficul 
utilizand caracteristici | utilizatorilor legitimi 
normale de trafic 
E Accesul Medie Atacatorii pot exploata | Exploatarile nu apar ca 
xploatarea A Mas Ges RUE 
neautorizat, serviciile utilizand trafic legitim, iar 
subversiv sau breşe criptare sau masca sistemele IDS au 
în servicii traficul de exploatare semnăturile pentru a 
detecta majoritatea 
atacurilor 
Piensa Instalarea de Mare Criptarea poate ascunde Traficul dinspre 
controlului aplicații pentru a conținutul aplicaţiilor serverul victimă către 
obține privilegii instalate exterior poate fi 
suplimentare şi / supravegheat şi 
sau să-şi mascheze identificat 
prezenţa 
C A Comunică prin Mică către | Având control total Pe baza profilelor de 
onsolidarea |. . ; A ; à 
intermediul unei medie asupra ambelor capete | trafic se pot determina 
back door, in mod de comunicatie caracteristici atipice 
uzual, un canal activitatea atacatorului | corespunzátoare 
acoperit este limitatá doar de utilizárii unui back 
controlul de acces al door de cátre atacator . 
traficului oferit de Sistemele de detectia 
dispozitivele aflate in intruziunilor pe statii 
calea de comunicatie pot identifica activitáti 
in aceasta fazá 
Abuzul Furtul de Mică către | Odată ce operează peo | Analiştii cu abilități 
informații, medie "masiná de încredere”, | superioare pot 


deteriorarea unui 
bun, sau 
compromiterea 
întregii organizații 


activitățile atacatorului 
sunt mult mai dificile 
de observat 


determina devieri de la 
caracteristicile de 
trafic ale sistemelor 
interne 


Tabel 1.1 — Detectarea intruziunilor pe durata fazelor de compromitere 
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1.4 Tehnici de scanare a retelelor si sistemelor 


Scanarea reprezinta una din activitátile de baza ale fazei de recunoaste prin care 
atacatorul urmáreste identificarea sistemelor active si accesibile din exterior, precum si 
a serviciilor pe care le oferá, folosind diverse metode si teste de scanare a porturilor, de 
detectare a sistemului de operare. Tipurile de informatii colectate in urma scanárii se 
referă la [PNN10]: 

e Serviciile TCP/UDP ce rulează pe fiecare sistem identificat 

e Arhitectura sistemului 

e Adresele IP ale sistemelor accesibile via Internet 

e Tipul sistemului de operare. 


Atacatorul va căuta ca prin volumul şi structura traficului de scanare generat să nu 
atragă atenţia administratorilor de securitate şi sistem din organizaţia ţintă. 


1.4.1 Tehnici de scanare a porturilor TCP 


Porturile TCP accesibile pot fi identificate prin scanarea adreselor IP ţintă. Următoarele 
tipuri de scanare a porturilor TCP sunt folosite atât de atacatori în faza de 
recunoaştere, cât si de organizaţii pentru identificarea propriilor vulnerabilitáti: 


1.4.1.1 Metode de scanare standard 


Aceste metode permit identificarea cu acuratețe a porturilor şi serviciilor active, dar sunt 
uşor de identificat şi jurnalizat. Organizațiile le folosesc in mod curent pentru detectarea 
propriilor vulnerabilitati. 


1.4.1.1.1 Scanare TCP connect 


Se trimit pachete de sondare SYN la portul ce verifică. Dacă sistemul verificat răspunde 
cu un pachet ce are SYN şi ACK setate, atunci portul este deschis. Dacă portul este 
închis, se recepționează direct un pachet RST/ACK. Conexiunea se stabileşte prin 
trimiterea de un pachet ACK de către sistemul ce efectuează scanarea. 


SYN 
SYN/ACK 
ACK 


Figura 1.2 - Rezultatul scanării TCP connect atunci când un port este deschis 


SYN 


RST/ACK 


Figura 1.3 - Rezultatul scanării TCP connect atunci când un port este închis 
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Scanarea standard TCP connect este o cale sigura pentru a identifica serviciile de 
rețea accesibile. Dezavantajul este cá acest tip de scanare este “zgomotos”, şi este 
evitat de atacatorii experimentati. 


1.4.1.1.2 Scanare SYN semi-deschisá (half-open) 


Aceastá metoda difera de cea precedenta prin trimiterea unui pachet RST (pentru a 
reseta conexiunea) in cel de-al treilea pas al fazei de stabilire a conexiunii. Deoarece 
adesea conexiunile nestabilite complet nu sunt jurnalizate de statiile tinta, atacatorii pot 
utiliza acest gen de scanare. In figurile de mai jos este prezentat schimbul de pachete 
intre 2 sisteme cand este lansatá o scanare de acest tip, atát in cazul unui port deschis 
Cát si in cazul portului inchis. 


SYN 
SYN/ACK 
RST 


Figura 1.4 - Rezultatul scanárii half-open SYN flag atunci cánd un port este deschis 


SYN 


RST/ACK 


Figura 1.5 - Rezultatul scanárii half-open SYN flag atunci cand un port este inchis 


Scanarea SYN este rapidá si sigura, dar necesita privilegii de acces la statiile Windows 
si Unix. 


1.4.1.2 Metode de scanare TCP invizibila 


Metodele de scanare invizibile implicá analiza proceselor ce au loc pe stiva TCP/IP a 
maşinii ţintă si răspunsul la pachetele cu anumiţi biti setati. Asemenea tehnici nu sunt 
eficiente la descoperirea porturilor deschise pe anumite sisteme de operare, dar 
furnizează un anumit grad de discreţie şi uneori nu sunt jurnalizate. 


1.4.1.2.1 Scanare inversă TCP 


RFC 793 stabileşte că dacă un port este închis pe o staţie, atunci trebuie trimis un 
pachet RST/ACK pentru a reseta conexiunea. Pentru a folosi acest lucru se trimit 
pachete sondă cu diferiţi biti de stare TCP setati către fiecare port al maşinii ţintă. 
Există trei tipuri de configurații a bitilor de flag, folosite in mod curent [McNO7]: 

e Sondare FIN (bitul TCP FIN setat) 

e Sondare XMAS (biții TCP FIN, URG, si PUSH setati) 

e Sondare NULL (fără biti de stare TCP fără flaguri TCP setate; 


Conform standardul RFC, dacă nu este primit nici un răspuns de la portul maşinii ţintă, 


atunci portul este deschis sau staţia este inactivă. Pentru toate porturile închise de pe 
maşina ţintă, sunt recepționate pachete RST/ACK. Totuşi implementárile stivei TCP/IP 
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pe anumite sisteme de operare (cum sunt cele din familia Microsoft Windows) nu 
urmeazá complet standardul RFC 793 ín acest sens, si deci nu existá ráspuns 
RST/ACK la o incercare de conectare pe un port inchis. In schimb, aceasta tehnicá 
este eficientá in cazul sistemelor de operare de tip UNIX. 


1.4.1.2.2 Scanare ACK 


O tehnicá mai discretá de scanare este cea de a identifica porturile TCP deschise prin 
trimiterea unui volum de pachete de sondare ACK cátre diferite porturi ale statiei tintà si 
analizarea informatiilor din antetul pachetelor RST receptionate. 


Ss 


GEES E 


Figura 1.6 - Pachetele sondá ACK sunt trimise la diferite porturi 


Volum pachete sondare ACK 


Volum raspunsuri RST 


Există două tipuri de tehnici de scanare ACK care implică [McNO7]: 

e Analiza câmpului TTL (time-to-live) al pachetelor recepționate - porturile 
deschise vor fi cele pentru care câmpul TTL este mai mic decât valoarea 
maximă a TTL din şirul de pachete RST recepționate 

e Analiza câmpului WINDOW al pachetelor recepționate — porturile deschise vor 
avea câmpul WINDOW diferit de O. 


Avantajul acestui tip de scanare este că detecția sa este foarte dificilă, însă datorită 
faptului că se bazează pe particularități ale implementării stivei TCP/IP, nu are 
aplicabilitate largă . 


1.4.1.3 Metode de scanare TCP fabricată (spoofed) 


Aceste metode de scanare permit ca pachetele de sondare să fie trimise prin 
intermediul staţiilor vulnerabile pentru a ascunde adevărata sursă care încearcă 
scanarea rețelei. Un important avantaj al acestor metode este că pot permite accesul la 
configuraţia firewalllui prin intermediul staţiilor de încredere, dar care sunt vulnerabile. 


Este stabilita o 
conexiune pe portul 
FTP de control 
(TCP21) si este 
trimisa comanda de -ATACATOR 
atac POR 


Server FTP 
vulnerabil 


Serverul FTP incearca sa 
trimita date la portul 
specificat de pe serverul d 
tinta, returnand un raspuns Host tinta 
pozitiv daca portul este 
deschis 


Figura 1.7 - Scanarea porturilor prin FTP 
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1.4.1.3.1 Scanare FTP 


Multe servere FTP manipuleaza conexiunile folosind comanda PORT care permite 
transferul datelor la statia si portul specificat. Dacá existá si un director pe care se 
poate scrie, atunci atacatorul poate introduce o serie de comenzi si alte date intr-un 
fisier si apoi le transmite la o anumita statie si port. Spre exemplu cineva poate face 
upload unui mesaj email spam, pe un server FTP vulnerabil, si apoi mesajul este trimis 
la portul SMTP al serverului de email tinta [Nma--]. 


1.4.1.3.2 Scanare Proxy 


Configuratia incorecta a unor statii poate permite utilizarea lor ca agenti in expedierea 
cererilor de scanare. Deoarece aceasta solutie este consumatoare de timp, atacatorii 
preferá adesea sá realizeze atacul asupra tintei direct de pe statia proxy. 


1.4.1.3.3 Scanare pe baza de sniffer 


Elementul ce determina eficienta acestui tip de scanare este configurarea interfetei de 
retea a statiei in modul promiscuous, dupa care se ascultá ráspunsurile pe segmentul 
de rețea. Exista două mari avantaje ale utilizării acestei metode de scanare[Ore08]: 

e Daca atacatorul capătă privilegii de administrator asupra unei masini din acelaşi 
segment de rețea cu staţia tinta, sau cu firewall-ul care protejează tinta, se pot 
trimite pachete TCP de la o adresa IP aleatoare din rețea pentru a identifica 
staţiile de încredere şi a obţine accesul la firewall. 

e Daca atacatorul are acces la un segment mare de rețea partajată, poate realiza 
scanare fabricată în numele staţiilor din segmentul respectiv la care nu are 
acces, sau care nu există, pentru a scana eficient rețele la distanţă într-un mod 
distribuit şi invizibil. 


Sunt trimise pachete 

sonda catre statia 
zombie si sunt 

analizate valorile 

antet IP AT ACATOR 

Pachete TCP SYN sunt 

trimise porturilor de pe 

) statia tinta, aparand ca 

fiind transmise de la statia 

zombie 


Statie zombi 


Daca portul este deschis, 
statia tinta trimite un SYN/ 
ACK catre zombie, care A 
afecteaza valorile antet IP Statie tinta 
ale pachetelor trimise de 
atacator 


Figura 1.8 - Scanarea antetului IP şi părțile implicate 


1.4.1.3.4 Scanarea antetului IP 


Scanarea antetului IP este o tehnică de scanare care implică abuzarea implementărilor 
stivei TCP/IP în majoritatea sistemelor de operare. Sunt implicate trei staţii [Oreog]: 
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Staţia zombie care este o maşină din Internet 

Statia tintá care va fi scanata 

Statia de scanare, sondeazá printr-o secventá de pachete statia zombie, iar pe 
baza modificarilor in numerele de secventa ale pachetelor receptionate se poate 
deduce daca porturile pe statia tinta sunt deschise 


1.4.2 Scanarea porturilor UDP 


Deoarece UDP este un protocol fara conexiune, exista doar doua cai de enumerare 
eficienta a serviciilor de retea UDP de-a lungul unei retele IP [Nma--]: 


Trimiterea pachetelor UDP catre toate cele 65535 porturi UDP, si apoi 
asteptarea mesajului “ICMP destination port unreachable” pentru a identifica 
porturile UDP care nu sunt accesibile; 

Folosirea clientilor specifici serviciului UDP (snmpwalk, dig, tftp) pentru a trimite 
datagrame UDP către serviciile de rețea UDP ţintă si apoi aşteptarea 
răspunsului pozitiv; 


În figurile de mai jos sunt prezentate pachetele UDP şi răspunsurile ICMP generate de 
staţii când porturile sunt deschise sau închise. Scanarea porturilor UDP este o scanare 
de tip invers în care porturile deschise nu răspund. 


Pachete sondare UDP 


Fara Raspuns 


Atacator Tinta 


Figura 1.9 - Rezultatul scanării inverse UDP când un port este deschis 


Pachete sondare UDP 


> 


E ICMP Destination Host Unreachable 


Atacator Tinta 


Figura 1.10 - Rezultatul scanárii inverse UDP cánd un port este inchis 


1.5 Atacuri asupra retelelor si sistemelor de calcul 


Toate resursele organizatiei (infrastructura de retea, servicii, aplicatii, date, utilizatori) 
sunt expuse diverselor amenintári din spatiul virtual. In functie de resursa vizatá, 
atacurile se pot impárti in urmátoarele categorii [PPNO6-02]: 


atacuri asupra infrastructurii (reţele şi sisteme) - cuprinde atacurile DoS, 
propagările epidemice ale viermilor 

atacuri asupra serviciilor şi aplicaţiilor - cuprinde infecțiile cu malware (virusi, 
viermi, troieni) în scopul distrugerii sau furtului de date, sau preluării controlului 
asupra resurselor de pe staţiile client. 
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Threat 
Agents 


>+0 HO 


atacuri asupra utilizatorilor - vizeazá exploatarea factorului uman pentru a 
determina utilizatorul sa execute actiuni care contravin procedurilor de securitate 
(de exemplu, prin ráspunderea la mesajele de tip hoax, sau cele comerciale de 
tip SPAM), sau a induce utilizatorul în eroare asupra identităţii transmitátorului 
mesajului în scopul obţinerii de informaţii confidentiale (de exemplu, mesajele de 
tip phishing) 


Attack Security Securi Technical Business 
Vectors Weaknesses Controls Impacts Impacts 


DÉI 4 Attack IN Weakness @ = =@Control@ = =, 
———— 
==s@ Weakness Ge 
| 


as@ Weakness 


Weakness 


Figura 1.11 - Cai tipice de atac [OWA11] 


1.5.1 Atacuri asupra infrastructurii 


Cateva din trásáturile Internetlui care creeaza premise pentru atacurile asupra 
infrastructurii sale de retea sunt [Oik06]: 


Securitatea in Internet are un grad de interdependenta ridicat: Nivelul de 
susceptibilitate la acest gen de atacuri al oricárui sistem conectat la Internet 
depinde in mare másurá de starea de securitate la nivel global Internet, si nu de 
nivelul de securitate local. 

Controlul in Internet este distribuit: Cu un management distribuit si politici 
locale de funcţionare, este foarte greu de implementat un mecanism de 
securitate la nivel global, iar datorită considerentelor de confidentialitate a 
datelor, este adesea imposibil de investigat caracteristici de trafic peste mai 
multe retele. 

Resurse Internet limitate: Fiecare entitate din Internet (statie, retea, serviciu) 
are resurse limitate care pot fi consumate relativ rapid in conditiile unui nivel de 
cereri ridicat. Practic, în absența unei defensive, orice atac DDoS, sau 
propagarea epidemicá a unui vierme va avea succes dacă reuseste să 
achiziționeze un număr suficient de staţii agent. 

Puterea celor multi este mai mare decât puterea celor puţini: Acţiunile 
simultane şi coordonate ale atacatorilor vor avea câştig de cauză dacă au 
resurse mai mari decât victimele. 

Resursele şi sursele de informații nu se regăsesc la aceeaşi locație: 
Paradigma de comunicaţie "end-to-end" a determinat ca majoritatea informațiilor 
legate de asigurarea serviciului să fie disponibile la nivelul staţiilor finale, în timp 
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ce lárgimea de banda este o caracteristica a legáturii fizice intre retele. Astfel, 
atacatorii pot utiliza resursele abundente de bandá ale retelelor intermediare (de 
ISP) pentru a trimite mesaje cátre o victimá cu o capacitate mai redusá. 

e Lipsa unui mecanism de contabilitate: Se presupune cá valoarea câmpului 
"adresă sursă” din pachetul IP reprezintă valoarea adresei IP a staţiei care a 
generat pachetul. Această asertiune nu este validată sau impusă în nici un punct 
al traseului de la sursă către destinaţie, creând premisele de falsificare a adresei 
sursă numită şi "address spoofing”. Aceasta oferă atacatorului posibilitatea de a 
scăpa de răspunderea acţiunilor sale, precum şi un mijloc de a realiza atacuri 
mai puternice (vezi DDoS prin reflexie - RDDoS, cum ar fi atacul Smurf). 


1.5.1.1 Atacuri DoS 


Atacurile de tip „denial of service” (DoS) sunt parte integrantă din realitatea Internetului 
de astăzi. Obiectivul atacului este de a împiedica utilizatorii legitimi de a accesa 
sistemul victimă sau resursele rețelei. Initial, atacurile de acest tip au constituit o formă 
de vandalism asupra serviciilor Internet, însă cu timpul au devenit mai rafinate, vizând 
anumite grupuri de utilizatori. Câteva exemple ilustrative sunt: atacul asupra 
infrastructurii Estoniei [NazO7-2], atacul asupra site-urilor de socializare (Twitter, 
Facebook), atacul asupra site-ului Wikileaks [Par10]. 


În literatura de specialitate, există mai multe clasificări ale atacurilor DoS în funcţie de 
factori cum ar fi: gradul de automatizare, tipul de vulnerabilitate exploatată, modul de 
efectuare a atacului, mecanismele de comunicare utilizate de atacatori [Mir02]. 
Lucrarea de fata prezintă două tipuri de clasificări: după gradul de indirectare între 
atacator şi victimă, şi după tipul resursă exploatată. 


În funcţie de gradul de indirectare între atacator şi victimă atacurile DoS se clasifică 
după cum urmează. 


A. Atacuri DoS directe 


Atacurile directe sunt forma cea mai simplă de generare a unui atac, prin care 
atacatorul trimite cereri de serviciu către victimă cu o frecvenţă foarte mare pentru a-i 
epuiza unele din resursele cheie (CPU, memorie, bandă). Aceasta conduce la refuzul 
de servicii pentru clienţii legitimi ai victimei. 
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Figura 1.12 - Scenariu de atac DoS direct 
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B. Atacuri DoS distribuite (DDoS) 


Un atac de tip DoS distribuit (DDoS) este un atac coordonat pe scará largá asupra 
disponibilitatii serviciilor oferite de sistemul victimă sau resursele reţelei lansat indirect 
prin intermediul mai multor staţii Internet compromise. Serviciile atacate sunt cele ale 
„staţiei victime primare” în timp ce sistemele compromise utilizate în lansarea atacului 
sunt adesea numite „victime secundare”. Utilizarea victimelor secundare in 
desfăşurarea unui atac DDoS oferă atacatorului posibilitatea de a realiza un atac pe 
scară mai largă şi cu efecte distructive mult mai mari, şi face mult mai dificile operaţiile 
de identificare a atacatorului initial [MirO4]. 


Un atac DDoS utilizeazá mai multe sisteme in lansarea unui atac DoS coordonat 
impotriva uneia sau mai multor tinte. 
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Figura 1.13 - Scenariu de atac DDoS 


C. Atacuri DoS bazate pe reflectori (RDoS) 


Detectia atacurilor poate fi ingreunatá prin utilizarea reflectorilor in distribuirea traficului 
DoS. In esenţă, agenţii nu vor trimite cererile către ţintă, ci către nişte intermediari, 
numiţi reflectori. Un reflector este orice staţie IP care va răspunde la orice pachet trimis 
către el (un exemplu de reflector este un server web). Dacă adresa țintei este pusă ca 
adresă sursă în pachetului trimis de agent către reflector, răspunsul reflectorului va fi 
trimis către ţintă. Prin utilizarea acestui mecanism se măreşte numărul de indirectări 
între atacator şi ţintă, şi se realizează o dispersie a surselor de atac (orice maşină 
accesibilă în mod public poate fi utilizată ca reflector), ceea ce îngreunează depistarea 
atacatorului [Pei04]. 
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Figura 1.14 - Scenariu de atac RDoS/RDDoS 


1.5.1.2 Atacuri DoS asupra retelelor 


Acestea sunt atacuri simple de efectuat ce consumá lárgime de bandá prin inundare 
(flooding). Obiectivul atacatorului este de satura legáturile de retea pentru a prábusi 
ruter-ele si switch-urile sau inundarea cu trafic peste posibilitatile de prelucrare. Din 
nefericire, uneltele necesare pentru un asemenea atac sunt disponibile pe Internet si 
chiar utilizatorii fara experienta le pot folosi cu succes. 


Atacurile de inundare coplesesc resursele victimei prin volumul lor. Deoarece pachetele 
de atac pot fi de orice tip, pot avea orice continut, iar volumul mare de trafic impiedicá o 
analizá detaliatá a traficului, strategia pentru contracararea acestui tip de atac 
presupune ca detectia si blocarea traficului de atac cát mai aproape de surse, ceea ce 
implică o conlucrare între furnizorii de servicii Internet. 


A. ICMP Flood 


Acest atac constă din trimiterea unui număr mare de pachete ICMP către victimă. 
Aceasta nu poate ţine pasul cu volumul de informaţie primit şi poate observa o 
degradare a performanţei. Implementări ale acestui tip de atac se găsesc în 
următoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K [Har09]. 


B. Smurf Flood 


Atacul Smurf este o variantă de ICMP flood in care un pachet 
ICMP ECHO REQUEST avánd valoarea adresei sursa setatá cu adresa statiei tintà 
este trimis cátre o adresa de broadcast. RFC pentru ICMP specifica ca nu trebuie 
generate pachete ICMP ECHO REPLY cátre adresele de broadcast, insá multe 
sisteme de operare si producatori de rutere nu au incorporat aceasta cerinta 
implementarile lor. Ca urmare, statia tinta va primi pachete ICMP_ECHO_REPLY de la 
toate statiile din retea [Sin10]. Astfel de atacuri sunt numite atacuri cu amplificare sau 
cu reflexie. Implementari ale acestui tip de atac se gasesc in urmatoarele unelte DDoS: 
TFN, Stacheldraht, TFN2K. 
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Figura 1.15 - Scenariu de desfásurarea a unui atac de tip Smurf flood 


C. UDP Flood (Fraggle) 


Acest atac este posibil datoritá naturii protocolului UDP care nu este orientat pe 
conexiune. Din moment ce nu este necesar nici un dialog in prealabil, un atacator 
poate trimite pachete cátre porturi aleatoare ale sistemului vizat. Victima va aloca 
resurse pentru determinarea aplicatiilor care asculta porturile pe care sosesc date, iar 
cand realizeaza ca nici o aplicatie nu face acest lucru, va trimite ca ráspuns un pachet 
ICMP. Dacá numárul de pachete aleatoare este suficient de mare existá posibilitatea 
ca sistemul sá aibá probleme. Implementári ale acestui tip de atac se gásesc ín 
urmátoarele unelte DDoS: Trinoo, TFN, Stacheldraht, Shaft, TFN2K, Trinity. 


D. Chargen 


Acest atac este o varianta a atacului de tip UDP Flood si foloseste portul 19 (chargen) 
al unui sistem intermediar folosit ca amplificator. Atacatorul trimite un pachet UDP fals 
cátre un sistem intermediar care la rándul sáu ráspunde cu un sir de caractere victimei, 
pe portul sáu echo. Victima trimite inapoi un ecou al sirului primit si bucla creata 
consuma rapid banda dintre victimá si sistemul intermediar. Implementári ale acestui tip 
de atac se gásesc in urmátoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K. 


E. E-mail bombing 


eT 


„E-mail bombing” înseamnă trimiterea unui număr mare de mesaje electronice către un 
server cu scopul de a epuiza spaţiul de pe disc şi lățimea de bandă. Cu excepția 
atacului UDP, restul se pot evita prin măsuri luate la nivelul sistemului de operare. 
Atacul UDP este dificil de contracarat întrucât există o multitudine de aplicații care 
ascultă la o multitudine de porturi. Filtrarea cu ajutorul firewall-urilor ar avea un impact 
puternic asupra functionalitátii iar acest pret nu 1l vor plăti foarte multi utilizatori. 


1.5.1.3 Atacuri DoS asupra sistemelor 


Acestea sunt atacuri care epuizeazá o resursá cheie a sistemului determinánd fie 
incapacitatea acestora de a servi corespunzátor cererile legitime ale utilizatorilor, fie 


28 


întreruperea totală a funcţionării sistemului. Atacurile exploatează vulnerabilitáti 
structurale ale protocoalelor de comunicaţie TCP/IP, sau vulnerabilitáti ale sistemului 
de operare, sau aplicaţiilor rulate pe staţia victimă prin trimiterea de pachete având un 
tip sau conţinut special. 


Deoarece vulnerabilitátile pot fi exploatate în mod frecvent prin utilizarea unui număr 
redus de pachete, atacurile de vulnerabilitate au un volum de trafic scăzut. Aceste 
caracteristici (pachet de tip special şi volum redus), simplifică strategia de tratare 
atacurilor de vulnerabilitate: detecția pe bază de semnături a pachetelor speciale, si 
aplicarea de patch-uri pe sistemul victimă. 


A. TCP SYN 


Atacul de tip TCP SYN este posibil datorită schimbului de mesaje de la începutul 
protocolului TCP. Un client trimite o cerere (SYN) către un server, anuntándu-si intenţia 
de a porni o conversaţie. La rândul său, serverul desemnează o intrare în tabela cu 
conexiuni pe jumătate deschise şi trimite înapoi un mesaj de acceptare (SYN,ACK), 
semnalizând astfel disponibilitatea sa. In acest moment clientul trebuie să răspundă cu 
un pachet SYN-ACK ACK pentru a putea începe comunicaţia de fapt. Un atacator ar 
putea să nu trimită niciodată această confirmare, cauzând umplerea tabelei de 
conexiuni, cererile legitime ulterioare fiind astfel blocate [Sin10].. Implementări ale 
acestui tip de atac se găsesc în următoarele unelte DDoS: TFN, Stacheldraht, Shaft, 
TFN2K, Trinity. 


Secventa de sincronizare Atac TCP SYN 


TCP in conditii normale Spoofed 


Agent Server rn 


Client Server 


SYN, ACK, *SYN, 


Processi ramane acth 
siretransmite ACK+SYN 


Figura 1.16 - Schimbul normal de mesaje în crearea unei conexiuni TCP (a). 
Atacul de tip TCP SYN (b) 


B. PUSH-ACK 


Conform protocolului TCP, pentru a minimiza activitățile auxiliare asociate transferului 
de date, segmentele TCP sunt păstrate în stiva TCP si trimise către destinație când 
stiva se umple. Totuşi, prin trimiterea unei cereri cu bitul PUSH=1, se poate forța 
receptorul să descarce conținutul stivei înainte ca aceasta să se umple. Atacatorul 
poate exploata această potențială vulnerabilitate de protocol prin trimiterea de pachete 
PUSH, care este posibil să genereze probleme chiar în condiţiile de încărcare de trafic 
moderată [McNO7]. Implementarea unui astfel de atac se regăseşte în uneltele DDoS 
mstream şi Trinity. 
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C. Shrew 


Pin exploatarea gradului de determinism si de omogenitate din implementarea 
mecanismului de evitare a congestiei TCP/IP, atacul urmáreste crearea de intreruperi 
periodice si de scurtá duratá cu scopul de a sincroniza stárile fluxurilor TCP si de a 
forta protocolul sa intre repetat in starea "transmission timeout”. 


Efectul resimtit de utilizatorii legitimi va fi un atac DoS, dar realizat cu un volum de trafic 
foarte mic, neobservabil de cátre mecanismele de detectie pentru atacurile DoS 
clasice. 


DoS burst length I 
rate 


period T 


Figura 1.17 - Modul de operare al unui atac de tip Shrew 


e |~ RTT (timpul dus-întors al unui pachet în rețea) 


e T ~ min(RTO) unde RTO (retransmission timeout) este timpul de aşteptare 
pentru retransmiterea segmentului TCP. 


Conform [RFC 2998], RTO se defineşte pe baza formulei RTO=SRTT+4*RTTVAR 
unde, SRTT (smoothed round-trip time) este media RTT, iar RTTVAR (round-trip time 
variation) este dispersia RTT. Experimentele au arătat că aceste tipuri de atac poate 
genera o pierdere aproximativă a  throughputlui de 87.8% pana sa fie detectate. O 
posibilă soluţionare ar fi ca protocolul să aleagă între manieră nedeterministă minRTO 
[Sun08]. 


D. Ping of Death 


Acest atac constă în trimiterea unui pachet ICMP mult mai mare decât pachetul maxim 
IP, şi anume 64 KBytes. La destinaţie, unele implementări nu pot decodifica pachetul, 
cauzând prăbuşirea sau reboot-ul sistemului. Vulnerabilitáti in implementările stivei 
TCP/IP ale sistemelor Windows timpurii, sau ale aplicaţiilor (un caz recent fiind 
vulnerabilitatea MS11-057 în Internet Explorer 9) pot favoriza condiţii pentru acest gen 
de atac [MS11-01]. 


ce predispuneau la astfel de atac au fost documentate în acest gen de atac au fost 
adresate in IE9 probleme recente au fost găsit 


E. Teardrop 


Datorită implementării defectuoase, unele sisteme nu pot asambla fragmente de 
pachete care au deplasamente eronate. In loc să ignore elegant aceste pachete, 
aceste implementări blochează sau reboot-ează sistemul. O implementare a acestui tip 
de atac se regăseşte în unealta DDoS Trinity. 
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F. Land 


Unele implementári TCP/IP cauzeazá blocarea sistemului cánd primesc pachete avánd 
aceeasi adresa ca sursá si destinatie. 


G. WinNuke 


Acest tip de atac este specific sistemelor de operare Windows. Atacatorul trimite date 
aleatoare la un port anume, ceea ce cauzeazá blocarea sau reboot-ul sistemului. 


1.5.1.4 Atacuri pe bazá de viermi 


În accepțiunea clasică, un “vierme” este un agent infecțios autonom cu replicare 
independentă, capabil de a identifica noi victime (tinte) si a le infecta prin intermediul 
rețelei. [Sta02] 


Cu timpul, denumirea de vierme a fost extinsá si asupra altor categorii de agenti 
infectiosi care, pentru a fi activati, necesita o actiune tipicá, simpla pe care utilizatorul o 
executá in mod frecvent in interactiunea cu spatiul virtual (citirea email, utilizarea 
mediilor externe USB, etc.). Aceastá extindere are la bazá faptul cá tehnologia este 
utilizata pe scará larga si in mod cvasi-permanent, ceea ce face ca activitátile frecvente 
si probabile ale utilizatorilor sa determine o rata de propagare acceptabila pentru 
atacator. 


Motivele care stau la baza proliferárii atacurilor bazate pe viermi sunt urmátoarele 
[Naz07-1]: 

e Convenienta oferită de gradul înalt de automatizare in descoperirea tintelor 
vulnerabile; 

e Viteza de penetrare datorată auto-propagării; 

e Persistenta - practica a arătat cazuri de infectări cu Conficker chiar dupa luni de 
zile de la lansarea lor, în ciuda faptului că patch-urile erau disponibile de o bună 
perioadă de timp [Por09]; 

e Acoperirea - majoritatea cazurilor precedente au arătat o infectare la nivel global 
a Internetlui. 


Procesul de livrarea a agenţilor infectiosi pe sistemele victimă a evoluat in mod deosibit 
de-a lungul anilor. O schimbare majoră o reprezintă utilizarea mai multor vectori de 
propagare. Daca spre exemplu Slammer [MOOO3] a utilizat o singură vulnerabilitate 
pentru a se propaga, Stuxnet [Mat11] a utilizat tehnici multiple pentru propagarea sa 
(memorii externe USB, exploatarea a 4 vulnerabilitáti nepublicate şi a două existente 
folosite în propagarea altor viermi precum Conficker [Por09]). 


1.5.1.4.1 Structura viermelui 


Structura unui vierme prezintă următoarele categorii de componente de bază [Naz03]: 
e Recunoaşterea (sau scanarea) — Această componentă este responsabilă pentru 
descoperirea staţiilor din reţea care pot fi compromise prin metode cunoscute de 
vierme. 
e Atac - Acesta este utilizată pentru a lansa atacuri împotriva unui sistem ţintă 
identificat valorificând vulnerabilitáti de tip: "buffer overflow", "string formatting", 
interpretári eronate ale Unicode, sau configuratii gresite. 
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Comunicatie - Nodurile din reţeaua de staţii infectate pot comunica între ele. 
Aceasta componenta oferá viermelui interfata prin care pot fi trimise mesaje intre 
noduri sau cátre o locatie centrala. 

Comandá — De indata ce o statie este compromisá, viermele poate rula comenzi 
operationale utilizand aceasta componenta. Elementul de comanda furnizeaza 
interfata prin care un nod din reteaua de statii infectate poate genera sau primi 
comenzi. 

Culegere de informatii — oferá informatiile necesare pentru a putea contacta alte 
noduri infectate ale retelei de statii controlate de vierme. 


Fenotipul, sau comportamentul observabil al viermelui, este discutat in adesea in 
contextul celor mai "vizibile" componente: cea de scanare si cea de atac. Aceste douá 
componente sunt necesare in orice implementare de vierme care se propaga pe scara 
larga, in timp ce toate celelalte componente sunt optionale. 


Prin utilizarea si a celorlalte trei componente, se poate conferi viermelui capacitati 
sporite cum ar fi: generarea de atacuri distribuite de tip DDoS, monitorizarea activitatii 
la tastatură, sau controlul stației compromise (BotNet) [Bott 1]. 


1.5.1.4.2 Identificarea tintelor 


În funcţie de strategia folosită pentru aflarea țintelor se identifică următoarele tipuri de 
scanări [PPNO5-01]: 


Scanarea uniformă — când un vierme nu posedă cunoştinţe despre localizarea 
staţiilor vulnerabile în Internet, cea mai simplă soluţie este de a scana aleator 
întregul spaţiu de adrese pentru a găsi victime. Această strategie de scanare a 
fost folosită de viermi precum Code Red, Slammer, Conficker, Witty, Sasser 
[Moo03] [Fse04-2]| PPNO05-03]. 

Scanare de tip listă țintă (hit list) — este tipul de vierme care posedă o lista cu 
adrese IP ale anumitor staţii vulnerabile din Internet. Un astfel de vierme 
scanează şi infectează mai întâi toate staţiile vulnerabile definite în hit-list, iar 
apoi scanează aleator întregul spaţiu Internet pentru a infecta si alte staţii 
vulnerabile. Acesta este doar un model teoretic, neexistând o implementare 
practică pana în acest moment. [Zou03] 

Scanare topologică - se bazează pe adresele identificate pe staţia victimă pentru 
a determina noile ţinte de scanare. Un exemplu în acest caz îl constituie primul 
vierme propagat în masa — Morris. 

Scanare metaserver — informaţia de identificare a staţiilor ţintă este obţinută prin 
interogarea altor sisteme sau aplicaţii. Viermele Santy a utilizat Google pentru a 
identifica serverele web care rulau phpBB [Fse04-1] 

Scanare pasivă — se aşteaptă ca potentiale victime să contacteze sursa de 
scanare. Foarte greu de depistat. O implementare de acest tip a fost viermele 
Gnuman care opera ca nod Gnutella [Smi09] 

Scanarea de tip divide-et-impera - un vierme cu scanare uniformă poate utiliza o 
strategie de tip divide-et-impera astfel încât staţiile infectate vor scana şi infecta 
stații vulnerabile localizate în spatii de adrese IP diferite 

Scanarea de tip preferință locală — urmăreşte scanarea adreselor IP din 
vecinătatea propriei adrese cu o probabilitate mai mare decât adresele dintr-un 
spaţiu mult mai îndepărtat. In cazul în care viermele are dificultăţi în a scana o 
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retea aflatá in spatele unui firewall, dar se aduce o statie infectatá in zona 
protejată de firewall, acest tip de scanare va permite compromiterea rapidă a 
tuturor staţiilor vulnerabile din acea reţea locală. Un astfel de tip de scanare a 
fost utilizat de viermi precum Code Red 2, şi Nimda [Che03] 

e Scanarea secventialá - odată ce o staţie vulnerabilă este infectată, viermele 
selectează mai întâi o adresă IP de la care va începe o scanare secventialà. 
Blaster este un exemplu tipic de vierme care a utilizat această scanare 

e Scanarea directionatá — se utilizează în realizarea de atacuri selective în care 
obiectivul atacatorului este scanarea şi infectarea staţiilor din domeniul țintă. În 
acest sens, de interes pentru atacator este de propagare a viermelui în domeniul 
țintă, şi nu de numărul de staţii vulnerabile care sunt infectate în Internet. Un 
exemplu de vierme ce utilizează această scanare în anumite faze ale propagării 
sale este Stuxnet [Mat1 1] 


1.5.1.4.3 Evaluarea strategiilor de scanare 


Analiza impactului strategiilor de scanare asupra modului de propagare arată că 
[PPNO5-01]: 

e Scanarea de tip preferinţă locală sporeşte viteza de propagare a viermelui când 
stațiile vulnerabile nu sunt uniform distribuite. Probabilitatea optimă pentru 
scanarea de tip preferință locală creşte când scanarea locală este aplicată în 
subretele mari. 

e Cand staţiile vulnerabile sunt uniform distribuite, scanările de tip divide-et- 
impera, cea secventiala şi cea uniformă, sunt echivalente în ceea ce priveşte 
numărul total de staţii infectate în orice moment. 

e Utilizarea preferintei locale în selectarea punctului de start al unei scanári 
secvențiale determină o scădere a vitezei de propagare a viermelui. 

e În cazul în care densitatea de staţii vulnerabile în domeniul ţintă (raportul dintre 
numărul de staţii vulnerabile şi cel al adreselor IP din domeniu) este mai mare 
decât alte domenii, atunci folosirea unei scanări direcționate va creşte viteza de 
propagare pe domeniul ţintă fata de o scanare uniformă. 


Pe baza acestor rezultate, este important ca în proiectarea sistemelor defensive să se 
caute prevenirea atacatorului de la identificarea unui număr mare de adrese IP de stat 
vulnerabile, sau obţinerea unor informaţii legate de spaţiul de adrese alocat sau utilizat, 
care să permită reducerea spațiului de scanare [PPN05-03]. 


Un sistem de monitorizare şi protecţie împotriva atacurilor lansate de viermi, trebuie să 
acopere un număr de blocuri de adrese IP suficient distribuite, pentru a avea o imagine 
corectă a modului de propagare a viermilor ce folosesc o scanare neuniformă (în 
special în cazul unei scanări secvențiale ca cea folosită de Blaster). 


1.5.1.4.4 Tehnici anti-detectie ale viermilor 


Pentru ca un vierme să afecteze o populaţie cât mai mare, atacatorii au la dispoziţie 
două opțiuni [PPNO05-01]: 

e Utilizarea unei strategii în care propagarea în faza iniţială să fie mai rapidă decât 

timpul necesar pentru generarea semnăturilor pentru firewall-uri, menite sa 
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limiteze propagarea (cum a fost cazul propagárilor Core Red, Conficker, Witty, 

Sasser). 

e Utilizarea de tehnici care sa asigure o vizibilitate redusă pentru a evita detecția 
pe o perioadă cát mai îndelungată (cum a fost cazul propagării Stuxnet) [Mat1 1]. 
Aceasta vizibilitate redusa poate fi obtinuta prin tehnici cum ar fi: 

e scanarea lentă - marea majoritate a soluţiilor de detectie a propagării utilizate 
de furnizorii Internet vizează protecţia împotriva propagărilor epidemice, 
astfel că mecanismul de monitorizare al organizaţiei ţintă va trebui să fie 
capabil să detecteze astfel de situații. 

+ polimorfism şi criptare — vizează auto modificarea sau criptarea pentru a 
evita detectoarele bazate pe semnătură 

e amestecarea — schimbarea comportamentului cand trece prin zona 
sistemelor IDS prezentând caracteristici similare traficului curent, sau 
comportament normal 

+ DoS asupra sistemelor IDS sau asupra personalului de securitate — se 
realizează prin producerea de trafic de diversiune pentru supraîncărcarea 
IDS (forțarea acestuia să genereze semnături inutile, să înveţe noi atacuri), 
şi a personalului de securitate (care să analizeze un volum mare de alerte 
caracterizare un grad ridicat de confuzie). 


1.5.2 Atacuri asupra aplicaţiilor şi serviciilor 


Dacă, atacurile initiale în sisteme vizau cu precădere exploatarea unor vulnerabilitáti 
cunoscute în sisteme de operare, protocoale de comunicaţie sau serviciile de reţea 
clasice, în ultima perioadă se observă o specializare a atacatorilor şi creatorilor de 
malware, ce dezvoltă în mod constant metode noi şi ingenioase pentru a neutraliza 
îmbunătățirile aduse securităţii sistemelor actuale. 


Atacurile din această categorie exploatează vulnerabilitáti ale sistemului de operare, 
sau ale aplicaţiilor rulate pe stația victimă cu scopul de a prelua controlul asupra 
serviciilor, sau compromite integritatea şi confidentialitatea datelor procesate. 
Majoritatea vulnerabilitátilor ce creează premisele unor astfel de atacuri sunt cele de tip 
buffer-overflow, şi cele de proiectare a aplicaţiilor (insuficiente în definirea si 
implementarea mecanismelor de autentificare, autorizare, şi manipularea datelor). 


Atacurile asupra aplicaţiilor au cunoscut o creştere deosebită în ultima perioadă. Un 
raport publicat de HP în 2010 estimează că aproximativ 70% din totalul atacurilor sunt 
îndreptate asupra aplicaţiilor Web [SEC11]. Cele mai importante tipuri de atac asupra 
aplicaţiilor Web sunt :[OWA1 1] 

e Atacurile Cross Site Scripting (XSS) - au loc cand serverul preia datele de la 
utilizator si le trimite inapoi browserului, fara ca acestea sa fie validate. XSS 
permite atacatorilor sa redirectioneze paginile victimei, sa execute scripturi in 
browserul victimei, acestia putánd ulterior sá intercepteze sesiuni de utilizator, 
sá introducá viermi, etc. 

e Erori de injectare (Injection Flaws) - in special injectia de tip SQL, sunt comune 
in aplicatiile web. Injectarea se produce atunci cand datele furnizate de utilizator 
sunt trimise la un interpret ca parte a unei comenzi sau a unei interogári. 
Atacatorul pácáleste interpretorul determinándu-| sa execute comenzi sau 
schimbarea de date in mod eronat. 
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e Execuţia malitioasá a fişierelor - Codul vulnerabil la includerea externa a 
fisierelor (Remote File Inclusion) permite atacatorilor sá includá cod si date 
ostile, rezultand atacuri devastatoare. Executia malitioasa a fisierelor afecteaza 
scripturile PHP, XML si orice cadru (Framework) care accepta fisiere (sau nume 
de fisiere) de la utilizator. 

e Expunerea referintelor directe - O referinta directa la un obiect are loc atunci 
cand un dezvoltator expune o referinta la un obiect intern cum ar fi un fisier, 
director, record de baze de date, sau cheie, un URL sau parametru dintr-un 
form. Atacatorii pot manipula aceste referinte pentru a accesa alte obiecte fara 
autorizatie. 

e Cross Site Request Forgery (CSRF) - Un atac CSRF forțează browser-ul 
victimei autentificate deja sa trimitá o cerere de pre-autentificate la o aplicatie 
web vulnerabilá, care apoi forteaza browserul victimei sa efectueze o actiune in 
beneficiul atacatorului. 

e Scurgerile de informaţii şi manipularea incorectă a erorilor - Aplicatiile pot oferi, 
fără a se dori, informaţii despre configurare, modul intern de lucru, etc. Atacatorii 
pot folosi aceste informaţii pentru a sustrage date de pe serverul în cauză, sau 
pentru a lansa atacuri mai importante. 

e Compromiterea autentificării şi a managementului sesiunii - Conturile şi sesiunile 
sunt de multe ori protejate insuficient. Atacatorii pot compromite parole, chei, 
sau sesiuni pentru a-şi asuma identitatea altor utilizatori. 

e Stocarea nesigură a datelor criptografice - Aplicațiile web folosesc rar funcțiile 
criptografice în mod corespunzător pentru a proteja datele şi conturile. Atacatorii 
folosesc datele slab protejate pentru furt de identitate şi alte infracțiuni, cum ar fi 
fraudarea cărților de credit. 

e Comunicaţii nesecurizate - În mod frecvent aplicaţiile nu criptează traficul din 
rețea pentru a proteja transferul de date cu grad de confidentialitate sporit. 
Aceasta deschide posibilitatea ca sesiunea sa fie interceptata (cu ajutorul unui 
sniffer de exemplu). 

e Imposibilitatea de a restricționa accesul URL - Frecvent, o aplicaţie protejează 
anumite date sau funcţionare ce se doreşte a fi secretă doar prin prevenirea 
afişării de link-uri sau URL-uri pentru accesul utilizatorilor neautorizati. Atacatorii 
pot utiliza această slăbiciune pentru a accesa şi de a efectua operaţiuni 
neautorizate prin accesarea acelor adrese URL în mod direct. 


1.5.3 Atacuri asupra utilizatorilor 


Ingineria socială poate implica trucuri atât psihologice cât şi tehnologice pentru a 
câştiga încrederea tintei. Din perspectiva psihologică, atacatorul poate exploata câteva 
caracteristici ale comportamentului uman pentru a creşte şansele ca victima să execute 
acțiunile dorite de atacator. Unele trăsături de comportament ce pot fi exploatate de 
atacatori sunt: dorința de conformitate, dorinţa de a fi de ajutor, lipsa de experienţă, 
curiozitatea. Aceste trăsături de comportament sunt adesea exploatate de atacurile de 
tip phishing prin utilizarea de tehnici de înşelăciune. 


Dintre trucurile de ordin tehnic utilizate de atacuri precum Phishing-ul sau cele bazate 
pe malware se menţionează: imitarea adreselor de email, mascarea URL-urilor 
frauduloase, clonarea site-urilor. Pentru a exploata ignoranta utilizatorilor cu privire la 
modul de funcţionare a tehnologiilor de protecţie, site-urile clonă prezintă indicatori de 
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securitate fictivi (icoana specificá conexiunii criptate), sigle ale autoritátilor de certificare 
precum Verisign. 


In paragraful urmátor se vor descrie scheme tipice de atac pe bazá de mesaje de 
posta, al căror obiectiv este în principal determinarea  utilizatorului de a executa 
acţiunea dorită de atacator. 


1.5.4 Scheme tipice de atacuri pe bază de mesaje de poştă 


Schemele prezentate în continuare conţin paşii urmaţi atât de atacator cât şi de victimă 
pentru ca atacul să se încheie cu succes. Schemele arată şi modul în care tehnologiile 
disponibile la ora actuală pot fi utilizate pentru a reduce vulnerabilitatea la diferitele 
clase de atacuri. 


Resursele sau condiţiile pe care atacatorul încearcă să le obţină sunt reprezentate prin 
dreptunghiuri, iar acţiunile atacatorului şi victimei sunt prezentate prin săgeți. Cazul în 
care atacul este anihilat se reprezintă prin starea "Atacul eşuează”, iar în cazul în care 
se materializează, starea finală este colorată distinctiv. 


Datorită dimensiunii şi complexităţii schemei de atac, aceasta a fost împărţită în patru 
secțiuni (1.18-1.21). Prima secţiune (1.18) cuprinde fazele de atac comune tuturor 
vectorilor de atac. Fiecare din vectorii de atac (ce vizează cu precădere atacurile 
asupra sistemelor client şi utilizatorilor) sunt prezentaţi în diagrame separate. Aceşti 
vectori de atac sunt [PPNO6-02]: 

e Instalarea de software malitios. Software-ul malitios este categoria de cod 
instalat in sistem, de regula fara stirea utilizatorului, si cu intentia de a 
compromite confidentialitatea, integritatea sau disponibilitatea datelor, aplicatiilor 
sau sistemului de operare de pe statia victima. 

e inducerea ín eroare a utilizatorului ce recepționează mesajul pentru a urma 
anumite instrucţiuni. 

e Utilizarea de spyware pentru a intercepta comunicațiile legitime ale victimei. 
Spyware-ul este categoria de software care colectează în secret informaţii 
despre activitatea utilizatorului (conturi şi parole tastate, adrese web vizitate, 
etc.) care apoi sunt-transmise în exterior. 


Atacurile încep cu un mesaj destinat victimei (utilizator, sau server de poştă). Atacatorul 
obține adresele de poştă utilizând o varietate de surse şi tehnici (generare semi- 
aleatoare, explorarea Internetului, liste de adrese, atacuri DHA anterioare, etc.). 
Mesajele ce vizează atacuri asupra infrastructurii sunt construite astfel încât să 
exploateze vulnerabilitáti ale SMTP, sistemelor de operare şi configurației sistemelor 
client şi server. Mesajele de atac ce vizează utilizatorul sunt construite astfel încât 
receptorul să creadă că ar putea fi legitime şi trebuie deschise. O configurare 
corespunzătoare a aplicaţiei server de posta, a sistemului de operare pe server şi a 
infrastructurii de protecţie (firewall) poate bloca cea mai mare parte a atacurilor de tip 
DoS si DHA. Filtrarea conexiunilor SMTP poate asigura controlul asupra încercărilor de 
inundare cu mesaje prin limitarea ratei de trimitere către server per transmitátor. În mod 
asemănător, filtrarea de conţinut (antispam) poate bloca o mare parte a mesajelor 
nelegitime. Odată ce mesajul este deschis de utilizator, conţinutul său trebuie să fie 
îndeajuns de realistic pentru a determina receptorul să execute paşii doriţi de atacator. 
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Ghiciere adresá Explorarea Usenet si Utilizatorul oferă adresa în scop Scurgeri de informaţii din 
(Atac de tip dicţionar web pentru adrese legitim unei entităţi; Destinatarul ^ interior sau de la lei de 
însă o dă spre folosire şi altora servicii Internet (FSI) 


Atacatorul are adresa de poştă electronică 


Conturi ieftine achiziţionate Folosind conturi uzuale la un Trimite prin servere incorect Trimite prin serverul de poştă 
de la diversi FSI în scopul FSI (furnizor sevicii Internet) configurate (relee deschise) (sau motor SMTP) al 
trimiterii unor mesaje spam | | atacatorului 


Mesaj e-mail trimis către organizaţie 


Mesaj trimis către filtrul antispam 


Nu există filtrare antispam ` ` S ` 
Filtrul spam proceseazá mesajul e-mail 


Mesaj atac nedetectat datorită unor tehnici de Mesajul malitios este detectatt Mesajul malitios 
evitare a filtrării în mesaj, reguli neactualizate dar decizia invalidată de detectat şi şters 
pentru filtru sau dezactivării fitrării de către virus utilizator 


Mesaj e-mail trimis către programul client de poştă Kee 


Mesajul are o adresá Mesajul are o adresă 


sursă legitimă sursă plauzibilă 


Y Y 


s a voy 33s S M EA ili îi ă să idă Validarea sursei 
Utilizatorul încearcă să deschidă e-mail-ul cu adresă legitimă Utilizatorul încearcă să deschidă papa: 
e-mail-ul cu adresá frauduloasá Utilizatorul ignoră 


8 ] mesajul 
Utilizatorul sterge e-mail 


dupa esuarea validarii Nu existá capabilitatea Utilizatorul ignoră Nu există capabilitatea Validarea sursei eşuează 
de validare a sursei eşuarea validării de validare a sursei 


Utilizatprul L atentionarea Atacul eşuează 
Atacul eşuează { { 
Mesajul e-mail este afişat utilizatorului 


Atacatorul utilizează o adresă 
plauzibilă ca destinaţie a Atacatorul | 
informatiei confidentiale o vulnerabilitate 


Atacatorul 
foloseste cod ce 
exploateaza o 
vulnerabilitate 
pentru a 


determina 
&xecutarea Unu; Utilizatorul crede ca e-mail-ul este legitim 


fişier ataşat fara 
vreo acţiune a 
utilizatorului Atacatorul Mot un m foloseste " foloseste 
(vierme) troian inducerea in eroare spyware 


n i Y Y 


(A1) Vierme (A) Troian (B) Înşelăciune (C) Spionare 


Atacatorul aly spyware 
plasat anterior şi inserează o 
adresă legitimă 


Figura 1.18 - Metode comune de atac folosind mesajele e-mail 
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(A) Utilizatorul crede cá e-mail-ul este legitim (A1) E-mail-ul este afişat utilizatorului 


Utlizatorul deschide fişierul 
executabil ataşat cu 
software antivirus 


Utlizatorul deschide fişierul Atacatorul foloseşte un cod ce exploatează o 


Fişierul executabil ataşat este executabil ataşat fără vulnerabilitate pentru a determina executarea 


scanat antivirus software antivirus unui fisier atasat (vierme) fără 
| vreo actiune a utilizatorului 


Troian detectat 


şi şters Troian detectat. 


Kr ignorá Troianul nu 
aienţionarea este detectat 


Atacatorul controlează calculatorul utilizatorului 
Atacul eşuează 


Troianul/Virmele capturează fişiere senzitive, date de 
intare ale utilizatorului (parole) sau comunicaţii în reţea 


Y 


Troianul/Viermele detine informatii senzitive din calculatorul utilizatorului 


Fárá host IDS. 
Troianul/viermele 
transmit datele prin m " 

aplicaţie i Ge cuie Hostul IDS monitorizează 
ara Nos! d o » H Tor 

Tiolanil/Merinaló comportamentul" aplicatiei 
deschide conexiunile [ 

(socket) Hostul IDS eşuează în 


Fárá firewall sau host IDS. detectarea comunicatiei 
Informatia senzitiva este malitioase 
transmisa atacatorului prin 


retea Hostul IDS 
Firewall-ul personal receptioneazá toate trasmnisiile blocheazá 
de date comunicatia 
Aplicatia transmite date Firewall alerteaza utilizatorul sa Firewall blochează Y 
T ; nu permită comunicaţia. We wal o ocneaza Atacul eşuează 
senzitive atacatorului Utilizatorul permite comunicaţia comunicatia ` —> 


Atacatorul obtine informatia senzitiva a utilizatorului 


Figura 1.19 - Tipuri de atacuri ale viermilor si troienilor 
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(B) Utilizatorul crede cá e-mail-ul este legitim 


Utilizatorul viziteazá site-ul 
HTTP al atacatorului 


Y 


Atacatorul afigeazá 


Utilizatorul Hm : PETS f 
completează utilizatorului un Browser-ul aşteaptă să valideze l 
p site web e GE Certificatul 
formularul i certificatul site-ului site-ului 
hesecurizat atacatorului 


este invalid. 
Utilizatorul ia 
A Browser-ul Browser-ul în considerare 
Site-ul web apare ca „Site-ul detectează un eşuează în avertismentul 
legitim. Utilizatorul utilizatorului are certificat invalid. detectarea 


completează formularul un certificat valid Utilizatorul ignoră | certificatului invalid Y 
şuează 


Utilizatorul vizitează site-ul HTTP al 
atacatorului 


Utilizatorul 


răspunde prin în pagina web avertismentul 


e-mail 
transmițând Atacul e 
date senzitive { 


Site-ul web “securizat” al atacatorului 


Browser-ul initiaza transmiterea datelor à gi 
este afişat utilizatorului 


Serviciul privat de protecţie 
avertizează utilizatorul 
despre transmiterea de 
date senzitive. 
Utilizatorul întrerupe 
transmiterea datelor Fără serviciu privat de Site-ul web apare ca legitim. 
4 protecţie Utilizatorul completează formularul în 


pagina web. 
Atacul eşuează 
Atacatorul obţine informaţia senzitivă a utilizatorului 


Figura 1.20 - Atacatorul înşeală pentru a obține încrederea utilizatorului 
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Figura 1.19 descrie continuarea secventelor de atac din figura 1.18 prin transmiterea 
unui fisier atasat ce prezintá in aparentá elemente de utilitate pentru victima (cum ar fi: 
imagini, screen saver, vedere electronicá, etc.), dar care instaleazá cod malitios ín 
scopul preluárii controlului asupra sistemului victimei. Sistemele antivirus si IDS locale 
joaca un rol important in blocarea multora din aceste scenarii de atac. 


Figura 1.20 prezintá continuarea secventei de atac din figura 1.18 ce se bazeazá 
exclusiv pe înşelarea încrederii utilizatorului. Singura vulnerabilitate vizată de acest tip 
de atac este cea umană. Atacatorul mizează pe legea probabilistică a numerelor mari 
trimițând mesajul la un număr mare de utilizatori în speranță cá un număr din aceştia 
vor fi convinşi de legitimitatea acestuia şi vor urma direcţiile dorite de atacator. In cazul 
în care atacatorul foloseşte HTTPS, SSL (Secure Socket Layer) oferă protecţie doar 
dacă utilizatorul ia în considerare avertismentul asupra invaliditatii certificatului. 
Aplicațiile comerciale ce oferă servicii private de protecţie, pot fi de ajutor prin 
avertizarea utilizatorului când acesta este pe punctul de a trimite informaţii confidentiale 
către destinaţii îndoielnice. 


(B) Utilizatorul crede că e-mail-ul este legitim 


Utilizatorul vizitează site-ul 
HTTP al atacatorului 


Y 


Atacatorul afişează 


Utilizatorul vizitează site-ul HTTP al 
atacatorului 


enron utilizatorului un Browser-ul aşteaptă să valideze ` 
ni site web certificatul site-ului elis 
nesecurizat atacatorului 
este invalid. 
| Utilizatorul ia 
; Browser-ul Browser-ul în considerare 
Site-ul web apare ca . Seul detecteaz un eșuează in avertismentul 
p legitim. Utilizatorul utilizatorului are certificat invalid. detectarea 
Ma li zatorul completeazá formularul un certificat valid Uilizatorul ignoră certificatului invalid 
raspunde prin in pagina web avertismentul 


e-mail 
transmitand Atacul eşuează 
date senzitive i 


Site-ul web "securizat" al atacatorului 


Browser-ul initiaza transmiterea datelor ` ae À 
este afisat utilizatorului 


Serviciul privat de protectie 
avertizează utilizatorul 


despre transmiterea de 
date senzitive. 
Utilizatorul întrerupe 
transmiterea datelor Fără serviciu privat de Site-ul web apare ca legitim. 
protecţie Utilizatorul completează formularul în 
e pagina web. 


Atacatorul obtine informatia senzitivá a utilizatorului 


Figura 1.21 — Atacuri pe bazá de spyware pentru culegere de informatii 
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Figura 1.21 aratá modul in care atacatorul poate obtine informatii confidentiale despre 
victimá si activitátile acesteia prin instalarea de aplicatii de tip spyware pe masina 
victimei. Aceasta poate fi realizatá prin intermediul unui atac prealabil cu Troian sau 
vierme, sau alte mijloace. Acest tip de software poate fi adesea detectat de programe 
anti-spyware specializate, cát si de multe din programele antivirus comerciale. In plus, 
aplicatiile locale de tip firewall si IDS pot adesea preveni programul spyware sa 
transmita informatii confidentiale in exteriorul sistemului. 


1.5.5 Metodologii de clasificare a atacurilor 


Clasificarea atacurilor in spatiul virtual se poate face dupá mai multe criterii cum ar fi: 
modul de desfăşurare, vulnerabilitatea exploatată, obiectivul atacului, motivaţia 
atacatorului, impactul şi implicaţiile atacului, resursa atacată, elementele de securitate 
afectate. [Kja05] [Han05] [Sim10] 


Plecând de la taxonomia prezentată in figura 1.22 [Sim10], se propune ca în procesul 
de evaluare şi analiză a noilor ameninţări să se utilizeze un model de clasificare ce 
încorporează şi un atribut specific monitorizării securităţii. Acesta va indica zona în care 
intruziunea se va putea detecta (în cazul în care mecanismul de protecţie eşuează), 
precum şi procesele conexe cadrului de securitate necesare pentru implementarea 
mecanismului defensiv (de exemplu: managementul patch-urilor). O abordare formală 
are rolul de a oferi o perspectivă consistentă care ia în calcul toate aspectele de interes 
ale organizaţiei. O exemplificare a utilizării modelului propus pentru evaluarea atacurilor 
este ilustrată în tabelul 1.2. Organizațiile cu cerințe speciale de securitate (armată, 
servicii secrete, corporaţii, etc) care doresc o caracterizare mai detaliată a atacurilor, 
pot construi un cadru formal de modelare a amenințărilor plecând de la structurile de 
VerlS descrise în secţiunea 2.4.5. 


ID Nume Vector Impact Impact Tinta Mecanism Zona 
Grup Operational | Informatie Defensiv Monitorizare 
100 Conficker | Buffer Instalare SO Windows | Solutie temporară: | IDS Reţea 
A Overflow vierme Íntrerupere | (Server, XP) Buletin furnizor (NIDS) 
Remediere: Patch | Control 
Management 
Patch 
100 Conficker | USB Instalare SO Windows | Solutie temporară: | IDS Staţie (HIDS) 
B vierme Întrerupere | (Server, XP) Buletin furnizor Control 
Remediere: Patch | Management 
Patch 
100 Conficker | Buffer Instalare SO Windows | Solutie temporară: | IDS Reţea 
B Overflow vierme Întrerupere | (Server, XP) Buletin furnizor (NIDS) 
Remediere: Patch | Control 
Management 
Patch 


Tabel 1.2 — Model de evaluarea a atacurilor 
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ATACURI 
INFORMATICE 
Clasificare dupa: 


——— e 


Impact asupra 
informatiei 


Impact 
operational 


Configuratii Utilizare 
eronate resurse - 


necorespunzator 


Defecte siste Compromitere 
operare utilizator 


Vector de atac 


i 


Deconectarg 


Defecte 
arhitecturale 


E4 
THE 
3 


Compromitere 
nivel admin. 


Buffer 


Overflow Compromitere 


Instalare 


Virus 
Incorecta 
validare date 
intrare oo! 
Infectie fisier 
Legatura 
p 
Spyware 
Pe baza de 
Conditii de 
concurenta 
| E-mail | 


Permisiuni 

incorecte a 
DOS (denial 
of service) 


Inginerie 
sociala 
Retea 


Figura 1.22 - Clase de atacuri [Sim10] 
1.6 Componenta de monitorizare si procesul de securitate 


1.6.1 Indicatori si avertismente 


Manualul armatei americane [USA95] defineste indicatorii si avertismentele (IA) ca fiind 
"monitorizarea strategicá a evenimentelor mondiale pe plan militar, economic si politic 
pentru a asigura cá acestea nu reprezintá un precursor cátre activitáti ostile sau 
contrare intereselor USA." Asadar IA este procesul de monitorizare strategicá care 
analizeazá indicatori si produce avertismente. 
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După cum se poate observa, în accepțiunea clasică IA este orientat către amenințări. În 
acest context se defineşte monitorizarea securității ca fiind procesul de colectare, 
analiză si investigare a indicatorilor şi avertismentelor pentru detecția şi răspunsul la 
intruziuni (violári ale politicii de securitate) [PPNO6-01]. 


Cu timpul, pentru eficientizarea procesului de monitorizare si pentru determinarea stárii 
de securitate de ansamblu la nivelul intregii organizatii, scopul monitorizárii a fost extins 
şi asupra categoriilor de date asociate altor concepte de securitate cum ar fi 
vulnerabilitáti, agenti de ameninţare, controale de securitate, etc [PPNO7-01]. 


Pe baza acestei abordari, se defineste IA de natura digitala in acceptiune extinsá ca 
fiind "monitorizarea strategicá informatiilor disponibile la nivelul resurselor interne (trafic 
de retea, fisiere log de pe sisteme, activitate utilizatori, etc.) cát si externe (buletine de 
securitate, starea generalá de securitate, studii de cercetare asupra noilor clase de 
amenințări) pentru a adresa într-o manieră proactivá si anticipativa riscurile si 
amenintárile la adresa organizatiei." 


Indicatorii se pot defini ca fiind actiuni observabile sau percepute care confirmá sau 
neagă intenţiile şi capabilitățile agenţilor de ameninţare. In domeniul monitorizării 
securităţii, indicatorii sunt adesea concluziile oferite de produsele securitate, cum ar fi 
alertele generate de sistemele IDS. Avertismentele sunt rezultatul interpretării de către 
analistul de securitate a indicatorilor. Analiştii evaluează indicatorii generati de 
produsele de securitate şi transmit avertismente către factorii de decizie [PPNO7-01]. 


În domeniul monitorizării securităţii, sunt elemente distincte, responsabile pentru 
colectarea şi interpretarea indicatorilor, precum şi transmiterea avertismentelor către 
factorii de decizie, şi anume: 

e Produsele efectuează colectarea. Un produs este o componentă software sau 
hardware al cărei scop este de a analiza pachetele din rețea. 

e Oamenii efectuează interpretarea. În timp ce produsele pot oferii concluzii 
preliminare despre starea de securitate, oamenii sunt necesari pentru a oferi 
contextul. Determinarea contextului necesită plasarea rezultatelor oferite de 
produs într-o perspectivă adecvată, dată de natura mediului în care produsul 
operează. 

e Procesele determină transmiterea informaţiei către factorii de decizie. Factorii de 
decizie sunt persoanele care au autoritatea, responsabilitatea şi capabilitatea de 
a răspunde la potentialele incidente. 
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Structurate Evenimente cke incident 
Colectare Identificare Validare Notificare 


Figura 1.23 — Proces generic de monitorizare a securității 
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1.6.2 Procesul de securitate 


Mitch Kabay, fost director al departamentului de educatie din cadrul International 
Computer Security Association, mentiona in 1998 ca "securitatea este un proces de 
mentinere a unui nivel acceptabil de risc perceput, si nu o stare finala” [Kab98]. 


Evaluare 
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Detectie 
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Figura 1.24 — Procesul de securitate pe baza BS7799-2/ISO27001 [ISO--] 


Procesul de securitate cuprinde urmátoarele patru mari componente: evaluarea, 
protecţia, detecția şi răspunsul [BPNOS]. 


Evaluarea — reprezintă pregătirea pentru celelalte trei componente. Este menţionată ca 
o componentă separată deoarece vizează în principal politici, proceduri, legi, 
regulamente, aspecte bugetare, atribuţii manageriale, precum şi evaluarea tehnică a 
propriei posturi de securitate. Eşuarea în a cuprinde unul din aceste elemente va afecta 
operaţiile ulterioare. Evaluarea presupune stabilirea controalelor de securitate pentru 
limitarea riscurilor organizaţiei. 


Protecţia — reprezintă aplicarea contramásurilor pentru a reduce probabilitatea de 
compromitere. Un alt termen echivalent în literatura de specialitate este „ prevenirea”, 
deşi realitatea a dovedit că prevenirea poate eşua. Monitorizarea securităţii nu este o 
componentă activă a strategiei de control a accesului, însă o bună prevenire contribuie 
la realizarea unui monitorizări mult mai eficace. 


Detectia — reprezintă procesul de identificare a intruziunilor (violări ale politicii de 
securitate) sau a incidentelor de securitate. Elemente ale procesului de monitorizare, 
cum ar fi colectarea şi identificarea, se vor regăsi în această componentă. 


Răspunsul — reprezintă procesul de validare a rezultatelor detectiei şi paşii luați pentru 
remedierea intruziunilor. Activităţile din această categorie includ aplicarea de patch-uri 
şi devirusare, precum şi urmărirea şi chemarea în justiție a vinovaţilor. Abordările 
anterioare urmăreau restaurarea functionalitátii componentelor afectate de atac; cele 
mai recente urmăresc şi remedieri de natură legală prin colectarea dovezilor necesare 
unor acţiuni juridice împotriva atacatorului. 


44 


1.6.3 Elementele procesului de monitorizare 


Elementele procesului de monitorizare a securitatii se vor regási in componentele de 
detectie si de ráspuns ale procesului de securitate si sunt descrise in continuare 
conform [PNOS]. 


Colectarea — este procesul de culegere a datelor care permit observarea, detectia, 
prevenirea amenintárilor si vulnerabilitátilor de securitate cunoscute, precum Si 
managementul diferitelor aspecte ale controalelor de securitate implementate pentru a 
adresa acele amenintári si vulnerabilitáti. 


Identificarea — este procesul de recunoastere a evenimentelor suspecte. Activitatea 
din organizatie din perspectiva securitátii este structurata la nivel de evenimente care 
sunt clasificate dupá cum urmeazá: 
e legitime — activități conforme politicii şi controalelor de securitate 
e Suspecte — activități atipice la prima vedere (de exemplu: fragmente de 
pachete), dar care nu afecteaza bunurile sau resursele organizatiei. In cele mai 
multe cazuri, aceste activitáti sunt conforme cu politica de securitate 
e Malitioase — activităţi neconforme cu politica de securitate care pot afecta 
negativ securitatea organizatiei. Atacurile de orice tip sunt cuprinse in aceastá 
categorie 


Identificarea se poate realiza prin intermediul unor măsuri de ordin tehnic si non-tehnic. 
Másurile de ordin tehnic se regásesc in produse (cum ar fi cele de detectie a 
intruziunilor si de monitorizare a securitatii), in timp ce másurile de ordin non-tehnic se 
bazeazá pe observatii umane cum ar fi: administratori care identificá un nou proces ce 
rulează pe server sau utilizatori ce raportează ca staţiile personale se comportă “atipic”. 
Aceste măsuri nu trebuiesc ignorate, deoarece reprezintă adesea mijlocul prin care se 
detectează atacatorii foarte buni. Tot personalul organizaţiei ar trebui să cunoască 
modul de raportare a unor astfel de situaţii suspecte către grupul de răspuns la 


incidente. 


Validarea — este procesul de asociere a unei categorii preliminare de incident 
evenimentelor identificate în procesul anterior [USAF96]. 

e Categoria | — Acces neautorizat la nivel root/admin. 

e Categoria Il — Acces neautorizat la nivel utilizator 

e Categoria III — Încercare de acces neautorizat 

e Categoria IV — Atac Denial of Service (DOS) reuşit 

e Categoria V — Violare de politica de securitate, sau practicá de securitate 

necorespunzátoare 
e Categoria VI — Activitate de recunoastere, sondare sau scanari 
e Categoria VII — Infectie cu viruşi (vierme) 


Notificarea — este procesul prin care se furnizeazá rezultate de analizá factorilor de 
decizie (interni sau externi) pentru a raspunde incidentului. Nu toate IA vor fi clasificate 
ca incidente si trimise cátre factorii de decizie. In majoritatea cazurilor, notificarea 
reprezintá primul pas al planului de ráspuns la incident, recomandándu-se organizatiilor 
sá aibá proceduri clare in acest sens. 
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Motto: Nu cele mai puternice sau inteligente specii supravietuiesc, 
ci cele care se adapteazá cel mai bine la schimbare. 


- Charles Darwin 


CAPITOLUL 2 


PROCESE SI POLITICI DE MONITORIZARE 


Securitatea informatiilor este un proces dinamic care trebuie sá ráspundá eficient noilor 
vulnerabilitati, ameninţări, precum si schimbărilor constante care au loc în arhitectura, 
sau mediul operational al organizatiei. O abordare exclusiv tehnologica, sau fara 
suportul intregii organizatii va conduce la solutii incomplete care nu adreseazá nevoile 
de ansamblu ale organizatiei. O solutie de succes presupune utilizarea unui proces 
structurat ce integreaza securitatea informatiei si activitatea de management al riscului 
în ciclul de viata al dezvoltării sistemelor [PNCNOS]. 


Monitorizarea securitátii informatiilor la nivelul organizatiei se defineste ca fiind procesul 
de menţinere în mod constant a atenţiei asupra securităţii informaţionale, 
vulnerabilitatilor şi amenințărilor, cu scopul de a oferi suport deciziilor legate de 
managementul riscului la adresa organizaţiei. Obiectivul este de a realiza monitorizarea 
in mod constant a securităţii reţelelor şi sistemelor informaţionale ale organizației si de 
a răspunde prin acceptarea, evitarea, transferul sau adresarea riscurilor atunci când 
sunt schimbări [PNO8]. 


2.1 Procesul de management al riscului. 


Managementul riscurilor la adresa rețelelor şi sistemelor de calcul reprezintă o 
componentă fundamentală a programului de securitate informatică a fiecărei 
organizații. 


Principalul obiectiv al procesului de management al riscului este de a proteja 
organizaţia, precum şi capacitatea acesteia de a-şi îndeplini activităţile. De aceea 
procesul de management al riscului este o funcţie esenţială a procesului de 
management al organizaţiei, şi nu neapărat o funcţie tehnică realizată de experţii IT, 
care operează şi gestionează aceste sisteme [PPINO8-01]. 


Abordarea bazată pe risc a managementului sistemelor informaţionale va avea un grad 
ridicat de eficienţă atunci cand este integrată în ciclul de viata al dezvoltărilor sistemelor 
(System Development Lifecycle-SDLC). SDLC este un proces pe mai multe etape care 
începe cu inițierea, analiza, proiectarea, dezvoltarea şi implementarea sistemelor 
informatice, continuă cu operarea, şi se finalizează cu încheierea ciclului de viata al 
sistemului [NIST-SP 800-64, NIST-SP 800-18, NIST SP 800-39]. 
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Managementul riscului organizational este un element cheie in programul de securitate 
informationala a organizatiei, si oferá un cadru eficace pentru selectarea controalelor 
de securitate corespunzátoare fiecárui sistem informational (controale de securizare 
necesare protejárii indivizilor, operatiilor si bunurilor organizatiei). 


Abordarea bazata pe risc in ceea ce priveste selectia si specificatiile controalelor de 
securitate va avea in vedere eficacitatea, eficienta, si constrángerile de natura 
legislativa, politica organizationala, standarde, reglementari sau alte cerinte venite din 
partea managementului executiv al organizatiei [PPINO8-02]. 
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Figura 2.1 - Cadru de management al riscului conform NIST SP 800-30 


Urmatoarele activitati legate de managementul riscului organizational (cunoscut ca si 
cadru de management al riscului) sunt definitorii pentru implementarea unui program 
de securitate informationala eficace si pot fi aplicate atát pentru sistemele existente cat 
şi cele ce vor fi create [BPNO9]. 

e Clasificarea sistemelor informaţionale si a informaţiilor procesate, memorate si 
transmise de acel sistem pe baza analizei impactului asupra operatiilor 
organizatiei. [NIST SP 800-60; FIPS 199]. 

e Selectarea unui set initial cu controale de securitate de bazá (baseline) pentru 
sistemul informational realizat pe baza clasificárii de securitate efectuatà 
anterior; adaptarea si suplimentarea controalelor de securitate de bazá pe 
másura nevoilor avánd in vedere evaluarea riscului de cátre organizatie si a 
conditiilor specifice locale. [FIPS 200; NIST SP 800-53]. 

e |mplementarea controalelor de securitate şi documentarea modului de 
amplasare în sistemele informaţionale si a mediului de operare [NIST SP 800- 
70; NIST SP 800-100]. 
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e Evaluarea controalelor de securitate utilizând proceduri corespunzătoare pentru 
a determina dacă au fost implementate în mod corect, dacă operează conform 
planului stabilit şi produc rezultatele anticipate în ceea ce priveşte îndeplinirea 
cerințelor de securitate pentru sistem [NIST SP 800-534]. 

e Autorizarea operării sistemului informational având la bază determinarea riscului 
la adresa operaţiilor, bunurilor, indivizilor precum şi a altor organizaţii ca rezultat 
al operării sistemului respectiv, precum şi obținerea deciziei în termeni de 
acceptabilitate a acestui risc [NIST SP 800-37]. 

e Monitorizarea şi evaluarea in mod constant a controalelor de securitate selectată 
pentru sistemul respectiv, incluzând evaluarea eficacităţii, documentarea 
modificărilor efectuate asupra sistemului sau mediului în care operează acesta, 
efectuarea de analize de impact a securității asupra schimbării modificărilor 
asociate, şi raportarea stării de securitate a sistemului către persoanele 
responsabile din organizaţie [NIST SP 800-53A, NIST SP 800-37, NIST SP 800- 
137]. 


Monitorizarea controalelor de securitate este una din componentele cadrului de 
management al riscului [NIST SP 800-37]. Obiectivul programului de monitorizare este 
de a determina dacă setul de controale de securitate identificate ca fiind necesare, şi 
apoi implementate pentru un sistem informational, îşi menţin eficacitatea în timp, având 
în vedere dinamica amenințărilor, tehnologiilor, precum şi schimbările care apar în 
organizaţie. Monitorizarea reprezintă o activitate importantă în evaluarea impactului de 
securitate al unui sistem informaţional ce decurge din modificări planificate sau 
neplanificate în spațiul hardware, software, mediu de operare (incluzând spaţiul de 
ameninţare). 


2.2. Model de monitorizare a securităţii la nivelul întregii organizații 


Mentinerea unei perspective actualizate asupra nivelului de securitate si al riscurilor la 
nivelul întregii organizaţii este o activitate foarte complexă, care necesită implicarea 
întregii organizaţii (de la managementul executiv care oferă strategia şi până la nivel 
individual, în ceea ce priveşte dezvoltarea, implementarea şi operarea diferitelor 
sisteme ce suportă activităţile de zi cu zi) [PPINO8-01]. 


Figura 2.2 prezintă o abordare pe mai multe nivele a monitorizării securităţii din 
perspectivă organizaţională. Deciziile legate de toleranța riscului care au fost luate la 
nivel executiv vor determina politica de monitorizare definită la nivelul 1, procedurile la 
nivelul 2 şi activităţile de implementare de la nivelul 3. 


2.3 Consideraţii generale asupra politicilor de securitate 


Politicile de securitate sunt fundaţia infrastructurii de securitate. Fără acestea, 
organizaţia nu poate fi protejată împotriva atacurilor de securitate, a disputelor juridice, 
şi publicităţii negative. O politică de securitate este un document sau set de documente 
care stabilesc practici, proceduri şi controale în scopul de a proteja resursele 
organizaţiei, de a reduce probabilitatea incidentelor de securitate şi minimizarea 
impactului asupra organizaţiei în cazul în care au loc, de a reducere sau elimina 
expunerea juridică fata de angajaţi sau alte organizații [PNCNOS]. 
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O politica are menirea sa influenteze si sa determine decizii si actiuni. Standarde cum 
ar fi BS7799-2/185027001, 1I8017799/18027002, RFC 2196 şi RFC 2504 pot fi utilizate 
ca punct de plecare in elaborarea unei politici de securitate solide pentru organizatie. 
De exemplu, Controlul A.10.8 al standardului BS7799-2 stabileste cerintele pentru 
organizatii de a dezvolta si implementa o politica de securitate, precum si controale in 
scopul reducerii riscurilor de securitate create de sistemul de postá. In mod similar, 
standardul ISO17799 identifică un număr de riscuri de securitate specifice serviciului de 
poşiă. 
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- Politici si strategii 
de conducere 


T T NIVEL 2. $4 
MISIUNEA SI ACTIVITATEA 
ORGANIZATIEI 
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+4 4 organizatiei si a activitatilor sale 
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SISTEME INFORMATIONALE 


- Politici de implementare si instruire 


CONTROALE LA NIVELUL SISTEMULUI DE CALCUL 


Informatii legate de securitatea sistemului de calcul 


Figura 2.2 - Monitorizarea securității din perspectivă organizațională [NIST SP 800-137] 


În general o politică de securitate defineşte [Wol05]: 
e Obiectivele de securitate: proprietăţile de  confidentialitate, integritate si 
disponibilitate aşteptată de la sistem 
e Regulile de securitate care sunt impuse mecanismelor care pot modifica starea 
de securitate a sistemului, pentru a garanta proprietăţile de securitate. 


În elaborarea politicii de securitate a organizaţiei se vor lua în considerare următoarele 
aspecte [LigO6][Ort98][Ou04] [ISA00] [KilO3][BPNO9]: 

e Consistenta politicii — aceasta trebuie să garanteze că plecând de la o stare de 
securitate nu se poate ajunge într-o stare de insecuritate fără violarea regulilor 
de securitate. Dintre cauzele care pot determina inconsistente se amintesc: 
conflicte între regulile funcţionale din cadrul sistemelor, obiective de securitate 
contradictorii, conflicte între regulile de securitate ale specificaţiilor de sistem, 
conflicte între regulile funcţionale şi obiectivele de securitate. 
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Cunoasterea potentialilor atacatori - aceasta presupune identificarea motivatiilor 
acestora, estimarea actiunilor acestora si a pagubelor pe care le pot produce. 
Másurile de securitate nu pot face imposibil atacul, si de aceea scopul principal 
stabilirea de controale de securitate care sá depáseascá abilitatea si motivatia 
atacatorului. 

Costul resurselor necesare implementarii, mentinerii, precum si al impactului 
asupra altor activitáti si procese ale organizatiei. 

Cultura organizatiei - Este important ca organizatiile sa dezvolte si adopte o 
politici care sa reflecte cultura organizatiei si ofera totodata nivelul de securitate 
corespunzător riscurilor evaluate. Multe politici sunt dezvoltate utilizând 
şabloane sau exemple generice din alte organizaţii. Politicile de securitate 
nepotrivite culturii şi practicilor de activitate din organizație conduc adesea la 
nerespectarea lor pe scară largă. 

Realismul şi suportul conducerii - Politicile trebuie să fie realiste şi sprijinite 
explicit de către conducere. De acea, stabilirea unui program de monitorizare 
centrat în jurul organizaţiei şi misiunii sale, va avea asigurat suportul conducerii. 
Inainte de publicare, vor trebui adresate toate problemele şi aspectele legate de 
gradul de acceptare din partea utilizatorilor, precum şi costurile asociate 
schimbărilor sistemelor şi practicilor curente. 


Culturalizarea politicii — Securitatea este un comportament care se învaţă. Daca 
utilizatorii nu conştientizează valoarea unei politici, nu o vor găsi necesară, şi 
astfel nu o vor urma. Utilizatorii vor trebui să înțeleagă o politică înainte de a li se 
cere să se conformeze acesteia. Un program de instruire eficace ar trebui să 
includă notificări prealabile asupra politicii din partea grupurilor responsabile cu 
elaborarea, şi implementarea acesteia. De îndată ce este publicată, se vor 
prezenta măsurile de monitorizare a conformării utilizatorilor şi perioada în care 
va intra în vigoare. Este importantă explicarea detaliată a procedurilor de 
obtinere a exceptărilor de la politică şi a raportării încălcării acesteia. Programul 
de instruire trebuie să includă notificări periodice către utilizatori şi management 
asupra problemelor de neconformitate până când acestea sunt rezolvate. 


Urmărirea conformárii şi măsuri disciplinare — Odată cu politica este necesară şi 
elaborarea procedurilor de monitorizare a conformării şi a măsurilor disciplinare 
în caz de neconformare. Aceste proceduri de monitorizare au rolul de a detecta 
şi rezolva interpretările eronate sau încălcările politicii. Procedurile de 
management a incidentelor trebuie să adreseze modul de investigare şi 
colectare de evidente, şi cazul în care trebuie implicate autorităţile legale. Datele 
asupra gradului de conformare, excepţii şi violări trebuie comunicate în mod 
regulat conducerii asigurându-se atât informarea cât şi sprijinul acestora. 


2.4 Procesul de implementare a unui program de monitorizare 


O strategie bine definită de monitorizare a securităţii informaţionale adresează 
evaluarea controalelor de securitate, monitorizarea stării de securitate şi raportarea 
stării de securitate dintr-o perspectivă decizională orientată în jurul riscurilor. 
Elementele programului de monitorizare a securităţii sunt [PPNO7-01] [PPINO8-01]: 


Definirea strategiei de monitorizare bazată pe toleranța la risc ce asigură o 
vizibilitate asupra bunurilor, vigilentá asupra vulnerabilitátilor, si utilizează 
informații legate de ameninţări actuale sau în curs de cristalizare. 
Stabilirea de măsurători, şi metrici care [PPINO8-02] [PPNO6-05]: 
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determiná starea de securitate a organizatiei 

detecteaza schimbarile in infrastructura informationalá a organizatiei 

detecteazá schimbarile in mediile de operare 

mentin vizibilitate asupra bunurilor 

asigurá un grad ridicat de informare asupra vulnerabilitátilor 

oferá informatii asupra amenintarilor 

asigură eficienţa controalelor de securitate într-o manieră care suportă 

operarea în limitele de toleranţă de risc stabilite. 

e Implementarea programului de monitorizare pentru a colecta datele necesare 
pentru metricile predefinite şi raportarea celor identificate; automatizarea 
colectării, analizei şi rapoartelor unde acest lucru este posibil. 

e Analiza datelor colectate, raportarea celor identificate şi determinarea 
răspunsului corespunzător. In acest caz poate fi necesară colectarea de 
informaţii adiţionale pentru a suplimenta datele de monitorizare existente. 

e Răspunsul tehnic, managerial si operational pentru adresarea incidentelor sau 
acceptarea, transferul sau evitarea riscului. 

e Revizuirea şi actualizarea programului pe o bază continua, ajustând strategia de 
monitorizare, eficientizând capacităţile de măsurare pentru a creşte vizibilitatea 
asupra bunurilor şi vulnerabilitátilor; crearea de controale de securitate în 
organizație bazate pe datele de monitorizare; creşterea  rezilientei 
organizaționale. 
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2.4.1. Definirea strategiei de monitorizare 


Orice efort sau proces in suport al monitorizárii securizárii, trebuie sá inceapá prin 
definirea unei strategii de monitorizare globale acoperind aspecte tehnologice, 
procesuale, procedurale, operationale si de personal uman. Elementele care vor fi luate 
in considerare in stabilirea strategiei sunt [PPNO7-01] : 
e Aspectele de toleranţă a riscului in organizație 
e  Másurátori si metrici pentru a oferi indicaţii edificatoare asupra stării de 
securizare la toate nivelele organizaționale 
e Verificarea pe o bază continuă eficacitatea controalelor de securitate 
e Mentinerea vizibilitátii asupra inventarului cu bunuri ale organizației 
e Controlul asupra schimbărilor prin managementul inventarului şi configurației 
e Managementul proactiv al impactului asupra securităţii în cazul schimbărilor 
e Vizibilitatea şi informarea asupra spațiului vulnerabilitátilor şi amenințărilor 
e Necesitatea organizaţiei de a stabili priorități şi a menţine riscul în limitele de 
toleranță acceptate. 


Un program eficace de monitorizare începe cu dezvoltarea unei strategii care 
adresează cerințele de monitorizare, şi activitățile la fiecare nivel organizational descris 
în figura 2.2. In funcţie de organizaţie pot exista suprapuneri între sarcinile şi activităţile 
efectuate la fiecare nivel. Fiecare nivel monitorizează metricile de securitate pentru a 
determina eficacitatea controalelor stabilite, şi frecvenţa de evaluare. 


Eficacitatea controlului de securitate poate fi considerată ca o metrică de securitate în 
sine şi poate avea astfel asociată o frecvenţă de monitorizare a stării [PPINO8-02]. 
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2.4.1.1 Strategia de monitorizare la nivel organizational si al misiunii sale 


Responsabilii cu evaluarea riscului vor determina riscul de toleranta organizational la 
nivel general precum si strategia de adresare a riscului in contextul organizational. 
Strategia de monitorizare si programul sunt dezvoltate si implementate pentru suportul 
managementului de risc in concordantá cu toleranta la risc a organizatiei. In mod uzual, 
strategia de monitorizare la nivelul organizatiei este dezvoltata la nivel organizational, 
cu proceduri generale de implementare elaborate la nivelul misiunii sale. 


Aceasta informatie este comunicata personalului de la toate nivelele, si se va reflecta in 
politicile si procedurile nivelelor misiune, si sistem. 


La nivelul organizatiei (management executiv) si al misiunii (operatiilor) strategia de 
monitorizare poate include politici si proceduri in suportul acesteia cum ar fi [NIST SP 
800-137] : 
e Politica de definire a metricilor cheie 
e Politica pentru modificari si intretinerea strategiei de monitorizare 
e Politica si procedurile pentru evaluarea eficacitatii controalelor de securitate 
e Politica si procedurile pentru monitorizarea stárii de securitate 
e Politica si procedurile pentru raportarea starii de securitate (asupra eficientei 
controlului si stárii de monitorizare 
e Politica si procedurile pentru evaluarea riscurilor si de obtinere a informatiilor 
asupra amenintárilor 
e Politica si procedurile pentru managementul configuratiilor 
e Politica si procedurile pentru analiza impactului de securitate 
e Politica şi procedurile pentru implementare si utilizarea aplicaţiilor la nivelul 
organizaţiei 
e Politica şi procedurile pentru stabilirea frecvenţelor de monitorizare 
e Politica şi procedurile pentru determinarea dimensiunii esantionului şi populațiilor 
ce fac obiectul monitorizării 
e Proceduri pentru determinarea măsurilor de securitate si a evaluării riscurilor. 
e Model pentru raportarea stării de securitate 
e Politica si procedurile pentru instruirea personalului implicat in monitorizarea 
securităţii. Instruirea include managementul şi utilizarea aplicațiilor, 
recunoaşterea si răspunsul la incidente si alerte pe baza metricilor, indicându-se 
când riscul depăşeşte riscurile acceptabile. 


2.4.1.2 Strategia de monitorizare la nivelul sistemelor informaționale 


Are la bază determinarea riscurilor asociate operării fiecărui sistem sau porțiune de 
infrastructură. Strategia şi programul de monitorizare la nivelul sistemului sunt 
dezvoltate şi implementate pentru suportul managementului de risc la nivelul întregii 
organizații, şi nu doar la nivel sistem, în concordanţă cu riscul de toleranță asociat 
sistemului, cât si celui organizational. 


Informatia de securitate la acest nivel include evaluarea datelor legate de controalele 
de securitate la nivel sistem si metricile obtinute pe baza acestor controale de 
securitate. Grupurile si departamentele care opereazá sistemele stabilesc strategia de 
monitorizare la nivel sistem luând în considerare factori tehnologici, arhitecturali, 
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specifici mediului de operare, dar si cerintele, politicile, procedurile si modelele stabilite 
la nivelul organizational si al celei de misiune [PPNO6-03]. 


În general, strategia şi programul este definit la nivelul organizational şi al misiunii sale, 
iar politicile de implementare specifice sistemelor sunt dezvoltate la nivelul de bază. 


Monitorizarea la nivel sistem va adresa monitorizarea controalelor de securitate din 
punct de vedere al eficacitátii, monitorizarea stării de securitate şi a raportării celor 
identificate. 


Dacă initial monitorizarea stării de securitate viza identificarea amenințărilor (detecția 
intruziunilor), conceptul a fost ulterior extins şi către alte zone din sfera securității IT 
cum ar fi: monitorizarea conformárii cu politica de securitate, monitorizarea eficacitatii 
controalelor de securitate, monitorizarea vulnerabilitátilor controalelor, etc [PPNO9] 


O soluţie de monitorizare completă, care va putea oferi informaţii de starea securității 
cat mai apropiate de realitate, va trebui să acopere toate aspectele de securitate 
prezentate în figura 2.3 cum ar fi [PNCNO9].: 

e Amenintári — clasa de monitorizare ce urmăreşte detecția atacurilor (de exemplu: 
sistemele IDS), şi constituie latura preponderent reactivă a soluţiei complete de 
monitorizare a securităţii 

e Vulnerabilitati - clasa de monitorizare ce urmăreşte identificarea sistemelor 
vulnerabile (de exemplu: scanere de vulnerabilitáti), şi constituie o componentă 
preponderent proactivă a monitorizării securității 

e Controale - clasa de monitorizare ce urmăreşte gradului de conformare cu 
politica de securitate şi eficacitatea controalelor de securitate implementate. 
Aceasta constituie o componentă preponderent proactivă a monitorizării 
securităţii. 

e Resurse - clasa de monitorizare ce urmăreşte realizarea şi menţinerea unui 
inventar actualizat al resurselor organizaţiei, configurației, gradului curent de 
utilizare şi operare a acestora (de exemplu: sisteme de management de rețea, 
monitorizarea utilizare server, etc.). Aceasta constituie o componentă de suport 
a monitorizării securităţii. 

e Risc - clasa de monitorizare ce urmăreşte evaluarea în timp real a riscului 
prezentat de intruziuni, pentru a ajuta la o mai bună prioritizare a răspunsului. 
Această este o componentă preponderent reactivă a soluției complete de 
monitorizare a securităţii. Un exemplu în acest sens ar fi componenta 
monitorizare a riscului utilizată de soluţia de monitorizare OSSIM (Open Source 
Security Information Management) [PPNOS]. 

e Agenti de ameninţare — este clasa care are rolul de a anticipa noi categorii de 
ameninţări, evoluţia acestora. Un exemplu în acest sens ar fi: monitorizarea 
forumurilor, site-urilor de socializare precum şi a altor resurse publice. Acest gen 
de clasă de monitorizare este prezentă în procesele de tip cyber intelligence. 


Ca element de bază, eficacitatea tuturor controalelor de securitate este evaluată în 
concordanţă cu planul de securitate al sistemului şi cu metode specifice descrise în 
NIST 800-53A. Frecvența de evaluare este determinată de operatorii de sisteme pe 
baza cerinţelor primite de la toate cele trei niveluri. 


Informaţia de securitate de la nivel sistem este utilizată pentru a determina starea de 
securitate la toate cele trei niveluri. 
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Figura 2.3 Relatia dintre procesul de monitorizare a securit 
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2.4.2 Stabilirea de masuratori si metrici 


Asemenea oricárui alt proces, managementul efectiv al securitátii nu poate avea loc 
dacá aceasta nu poate fi "másuratá". Implementarea unor metrici de securitate este 
importantá pentru determinarea nivelului curent de securitate, pentru evaluarea 
eficientei controalelor de securitate implementate, pentru dezvoltarea unor proceduri 
operationale adecvate, dar si pentru suportul eforturilor de cercetare in domeniul 


securităţii [PPNO6-05]. 


Acest subiect capătă o importanță în contextul in care organizaţiile trebuie sa se 
alinieze unor norme şi reglementări în domeniul asigurării securităţii care să 
demonstreze eforturi luate în direcţia protejării datelor, cât şi în contextul economic 
actual în care resursele financiare sunt limitate. [SOX06] 


În activitatea de măsurare a securităţii se utilizează următorii termeni definiti după cum 
urmează [DoD09]: 


Definitie: Masuratoare reprezintă date colectate care cuantifică o singură dimensiune a 
obiectului supus măsurătorii. Un exemplu în acest sens este numărul de vulnerabilitáti 
al unei aplicaţii. 


Definiție: Măsurarea reprezintă procesul de efectuare de măsurători. 


Definitie: Metricile (în literatura se utileaza ca sinonim şi termenul de măsură) sunt 
măsurători care au fost structurate ca informatie cu relevanță pentru procesul de 
elaborare a deciziilor. 


Organizațiile determină măsurătorile şi metricele pentru evaluarea şi controlul riscului 
organizaţiei. 


Metricile sunt dezvoltate pe baza datelor de la nivel sistem astfel încât să rezulte 
informaţii cu relevanţă pentru procesul de management de risc organizational cât si în 
contextul misiunii şi operaţiilor sale. Metricile colectate la nivelul sistemelor şi rețelelor 
pot fi agregate iar informaţiile relevante pentru factorii de decizie pot fi extrase pe baza 
acestora. 


Măsurătorile includ toate informaţiile cu relevanță de securitate din evaluări şi 
monitorizare obținute pe baza unor procese automatizate precum şi informaţii obținute 
pe cale manuală. Dacă măsurătorile reprezintă rezultatele la un moment dat de timp 
ale unor parametri măsurabili, metricile oferă o imagine mai completă (constând de 
regulă din câteva măsurători, valori de referinţă şi alte informaţii care oferă context de 
interpretare a măsurărilor). 


Câteva exemple de măsurători sunt : 
e Numărul şi severitatea vulnerabilitátilor identificate şi remediate 
e Numărul componentelor neautorizate dintr-o reţea 
e Activitatea autorizată 
e Procentul de computere configurate corespunzător 
e Procentul de sisteme care au testat planuri de situații de urgență 
e Număr de angajați care sunt la curent cu cerințele programelor de instruire. 


Câteva exemple de metrici sunt : 
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e Limitele de toleranţă a riscului pentru organizaţie, 
e Scoruri de risc asociat cu o anumită configuraţie sistem 


e Scorul de securitate a unei arhitecturi ce urmează a fi creată în contextul 
arhitecturii existente şi a nevoilor organizaționale. 


Un set corespunzător de metrici va fi orientat către un obiectiv şi va avea 
următoarele caracteristici [NIST800-33]: 

e Specifică 

e Măsurabilă 

e Comparabila 

e Determinabila 

e Repetabila si 

e Dependenta de timp. 


2.4.2.1 Standarde şi metodologii pentru elaborarea metricilor de securitate 


Codurile de practică şi standardele de securitate sunt utile ca un prim punct de plecare 
în definirea şi implementarea unui program de metrici în organizaţie. Acestea vizează 
cu precădere stabilirea de seturi de controale, însă modul de măsurare a calităţii şi 
aplicabilitátii acestor controale nu face obiectul acestora. [BS 7799, ISO 17799, NIST 
SP 800-33][BPNO9] 


SECMET (Security Metrics Consortium) a fost infiintat pentru definirea unor metrici de 
securitate standard pentru companii si a facilita adoptarea acestora de cátre factorii de 
decizii din companii. Un alt efort de standardizare este condus de MWG (Metrics Work 
Group) din cadrul ISSEA (International Systems Security Engineering Association). 
Acest grup este insárcinat totodatá si cu dezvoltarea de metrici pentru SSE-CMM 
(System Security Engineering-Capability Maturity Model). SSE-CMM a adoptat 
metodologia NIST SP 800-55 pentru dezvoltarea metricilor de securitate si proces. 


Grupul a propus 22 de arii de proces pentru dezvoltarea de metrici grupate in douá 
sectiuni si anume: practici de bazá de securitate, si practici de bazá pentru proiecte si 
organizatii. 


Íntre timp, organizatiile legislative din mai multe tári au elaborat proiecte si reglementári 
care necesita másurátori in domeniul securitatii IT (HIPAA- Health Insurance Portability 
and Accountability Act, FISMA- Federal Information Security Management Act, The 
Data Protection Directive 95/46/EC a Parlamentului European). 


Cele mai importante metode utilizate in dezvoltarea metricilor de securitate sunt: 

e metodologia de evaluare a performanțelor IT (coordonată de Departamentul 
Apárárii USA), care are urmátoarele componente: capabilitáti, nivel atribut si 
metrici specifice. 

e model bazat pe capabilități - un produs al SSE-CMM şi adresează capabilități 
funcţionale cum ar fi: protecție, detecție şi răspuns. 

e model orientat către rolul utilizatorilor (stakeholders) - abordează problematica 
metricilor din perspectiva rolului organizational al utilizatorilor (responsabilitatea, 
interesul şi acțiunile acestora). 
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Dificultatea in procesul de definire si elaborare a metricilor de securitate constá ín 
formularea si modelarea matematicá a acestora. Metricile trebuie sá fie de asemenea 
usor de obtinut si de validat, si sa acopere toate dimensiunile securitátii IT incluzand 
organizatia, componenta tehnologicá precum si pe cea operationalà. 


2.4.2.2 Metrici pentru evaluarea vulnerabilitátilor de securitate 


Multe din strategiile de evaluare si validare a securităţii sunt inca axate exclusiv pe 
proceduri de tip scanári de vulnerabilitáti, teste de penetrare, sau alte mijloace de 
identificare a deficientelor in implementarea controalelor de securitate legate de 
protectia bunurilor organizatiei. Eficienta unor astfel de implementári este limitata in 
contextul numárului mare si a frecventei ridicate de noi vulnerabilitati. 


Pentru a determina urgenta si prioritatea de ráspuns la vulnerabilitáti, organizatiile au 
nevoie de modele care sá ia ín calcul severitatea acestora. CVSS (Common 
Vulnerability Scoring System) este un model care oferá un scor al gradului de risc si 
severitate al vulnerabilitátii. Scorul este determinat pe baza unor metrici care acopera 
trei categorii distincte care pot fi másurate cantitativ si calitativ: 
1. Metricile de bazá contin atribute care sunt intrinseci fiecárei vulnerabilitáti si nu 
variazá in functie de timp sau mediu. 
2. Metricile temporale contin caracteristici ale vulnerabilitatii care se modifica pe 
durata de viata a vulnerabilitatii. 
3. Metricile de mediu contin acele caracteristici care sunt legate de o anumita 
configuratie a implementárii din mediul utilizatorului. 


Setul de metrici utilizat in CVSS a fost identificat pe baza unui compromis intre usurinta 
utilizării, acuratetei şi acoperirea în detaliu, obţinut după testări extensive a multiple 
seturi de vulnerabilitáti reale în diferite medii utilizator. [CVSS-09] 


A. Metricile de bază 


Setul de metrici de bază care acoperă trăsăturile de bază ale unei vulnerabilitáti sunt: 

e Vector de acces (VA) - măsoară dacă vulnerabilitatea este exploatabila local 
sau la distanţă. Valorile posibile sunt (local, la distanță) 

e Complexitatea accesului (CA) - măsoară gradul de complexitate al atacului 
necesar pentru exploatarea vulnerabilitatii odată ce atacatorul are acces la 
sistemul ţintă. Valorile posibile sunt (mare, mică) 

e Autentificarea (A) - măsoară dacă atacatorul trebuie să fie autentificat de 
sistemul ţintă pentru a putea exploata vulnerabilitatea. Valorile posibile sunt: 
(necesară, nenecesară) 

e Impactul de confidentialitate (IC) - măsoară impactul asupra confidentialitatii 
în cazul unei exploatări cu succes a vulnerabilitátii pe sistemul ţintă. Valorile 
posibile sunt (fără impact, parţial, complet). 

e Impactul de integritate (Il) - măsoară impactul asupra integrităţii în cazul unei 
exploatări cu succes a vulnerabilitátii pe sistemul ţintă. Valorile posibile sunt: 
(fără impact, parțial, complet) 

e Impactul de disponibilitate (ID) - măsoară impactul asupra disponibilitatii în 
cazul unei exploatări cu succes a vulnerabilitatii pe sistemul ţintă. Valorile 
posibile sunt: (fără impact, parţial, complet) 
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e Impactul de bias (prejudecată) (IB) - permite acordarea unei ponderi mai mari 
unuia dintre cele trei metrici mentionate anterior in detrimentul celorlalte douá. 
Valoarea poate fi : 


e Normală - IC, Il, ID, au aceeaşi pondere 

e Confidentialitate - dacă IC are pondere mai mare decât II si ID 
e Integritate - daca Il are pondere mai mare decât IC si ID 

e Disponibilitate - dacă ID are pondere mai mare decât IC si II 


Metricile de Baza 
Impact de Prejudecata 


- Complexitatea Accesului - Impact de Confidentialitate 


- Autentificarea - Impact de Integritate 


- Vector de Acces - Impact de Disponibilitate 


2. Scor me 
Metricile de Metricile 
Temporale Vulnerabilitate de Mediu 


- Exploatabilitatea 
- Potential de Distrugeri 


Colaterale 


- Nivelul de Remediere 


- Distributia Tintelor 


- Confidenta Raportului 


Figura 2.4 Model de evaluare a vulnerabilitatilor de securitate 


B. Metricile temporale 


Metricile temporale reprezintă trăsăturile dependente de timp ale vulnerabilitátii si 
anume: 

e Exploatabilitatea (E) - măsoară complexitatea procesului de exploatare a 
vulnerabilitátii pe sistemul ţintă. Valorile posibile sunt: (nedovedită, în stadiu de 
validare a conceptului, funcţională, mare). 

e Nivelul de remediere (NR) - măsoară nivelul de disponibilitate a unei soluții. 
Valorile posibile sunt: (rezolvare permanentă, rezolvare temporară, soluţie de 
moment, şi nedisponibilă). 

e  Confidenta raportului (CR) - măsoară gradul de confidentá în existența 
vulnerabilitátii şi credibilitatea raportării acesteia. Valorile posibile sunt: 
(neconfirmatá, neverificată, şi confirmată). 
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C. Metricile de mediu 


Metricile de mediu reprezinta trasaturi specifice configuratiei implementarii si mediului 
de existentá a vulnerabilitatii: 

e Potential de distrugeri colaterale (PDC) - másoará potentialul de pierdere a 
unui echipament, distrugerea proprietatii, pierderi de vieti sau accidente umane 
Valorile posibile sunt: (fárá, scázut, mediu, mare]. 

* Distributia tintelor (DT) - másoará marimea relativa a domeniului sistemelor 
tintá susceptibile la vulnerabilitate Valorile posibile sunt: {fara, scázut, mediu, 
mare). 


Elaborarea scorului se face pe baza combinárii tuturor valorilor metricilor pe baza 
formelor specifice prezentate mai jos : 
1. Scorul de bazá (SB)- este calculat de furnizor dupá cum urmeazá : 

SB- round(10 * VA* CA *A * ((IC * IBC) + (II * IBI) + (IA * IBA)) 


Odatá ce acesta este publicat, scorul de bazá (SB) nu se va mai modifica si va 
reprezenta fundatia care va fi modificatá de metricile temporare si mediu. Scorul de 
bazá are ponderea cea mai mare in scorul final si reprezinta nivelul de severitate a 
vulnerabilitátii. 

2. Scorul temporal (ST)- este calculat de furnizori dupá cum urmeazá : 


ST= round(SB * E * NR * CR) 


si permite introducerea factorilor de reducere a scorului vulnerabilitátii si va fi reevaluat 
la intervale de timp specifice pe durata de viata a vulnerabilitatii. Acest scor reprezintă 
gradul de urgenţă al vulnerabilitátii la un moment dat de timp. 


3. Scorul de mediu (SM)- este calculat în mod opţional de organizaţiile utilizator şi 
ajustează cele două scoruri anterioare pe baza următoarei formule : 


SM= Round((ST + ((10-ST) * PDC)) * DT) 


Acest scor reprezintá o valoare la un moment dat de timp reprezentativa pentru un 
mediu anume. Organizatia ar trebui sa utilizeze acest scor, SM, pentru a prioritiza 
ráspunsul la vulnerabilitate in cadrul mediului respectiv. 


CVSS diferá de alte sisteme de scor a vulnerabilitátilor cum ar fi Microsoft Threat 
Scoring System, Symantec Threat Scoring System, Cert Velnerability Scoring sau Sans 
Critical Vulnerability Analysing Scale Rating) prin faptul cá oferá un cadru deschis de 
clasificare a vulnerabilitátilor intr-o manierá consistentá, cat si posibilitatea de 
personalizare a acestora pentru fiecare mediu utilizator. Pe másurá ce CVSS se 
maturizează aceste metrici pot fi extinse sau ajustate pentru a-l face cát mai precis, 
flexibil şi reprezentativ pentru modul de adresare a claselor de vulnerabilitáti şi a 
riscurilor asociate cu acestea. 


2.4.2.3 Metrici pentru evaluarea controalelor de securitate în sistemele 
informaţionale 


În multe organizaţii, măsurătorile legate de securitatea sistemelor informaţionale sunt 
conduse adesea de echipe multiple care acţionează în mod dependent pentru 
definirea, colectarea şi analiza metricilor tehnice. 
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Aceste metrici includ vulnerabilitatile identificate in scanárile de retea, raportarea 
incidentelor, estimarea pierderilor cauzate de evenimentele de securitate, rata de 
descoperire a defectelor de securitate in noile aplicatii software, alerte ale sistemului 
de intruziune, numárul de emailuri infectate de virusi interceptate, si altele. 


sd 
P dl a 


Atacuri si Incidente " Controale 


(Produse si Procese) Bunuri 
- DOS ale 
- Asigura livrarea corecta a datelor i iai 
- Propagare Worm g " Organizatiei 


- Previn degradarea de servicii 


- Infectare masiva virus 
- Date 


- Previn intreruperi de servicii 


- Accesuri neautorizate 


- P2P - Asigura acuratetea datelor 
- Spyware, etc. 


- Infrastructura 


- Personal 


Starea de Securitatea 
a Organizatiei 
(Metrici) 

Este controlul necesar? 


Este controlul eficient? 


Sunt necesare imbunatatiri? 


Figura 2.5 Model de securitate bazat pe metrici [PPNO6-05] 


Metricile de securitate descrise in această secțiune vizează integritatea si 
disponibilitatea rețelei şi sistemelor. Alte aspecte precum valoarea bunurilor 
informaţionale sau costul pierderilor, nu fac subiectul analizei. 


În contextul unui model orientat pe rolul avut în organizaţie (Modelul stakeholders), 
utilizatorii vor urmări diferite aspecte legate de securitatea sistemelor. 


Managementul de nivel executiv, ce corespunde nivelului organizational şi misiune din 
figura 2.1 şi este responsabil cu performanţele de nivel general ale organizaţiei, va fi 
interesat de capacitatea sistemului de a asigura suportul operaţiilor organizaţiei şi 
misiunilor acesteia. Având autoritatea de a aloca resurse (atât financiare cât şi de 
personal) pentru a adresa problemele de securitate a sistemelor şi infrastructurii, 
aceştia vor fi interesaţi în a avea răspunsul la următoarele întrebări: 
e Gradul de securitate al organizaţiei comparativ cu al altora similare din acelaşi 
domeniu de activitate 
e Evoluția in timp a securităţii sistemelor 
e Eficienţa investiţiilor efectuate în domeniul securităţii sistemelor şi infrastructurii 
e Costurile şi consecinţele cand se consideră asumarea riscurilor asociate unor 
noi vulnerabilitáti. 


Un exemplu de metrici de securitate la nivelul managementului ar fi: 
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Nivelul de serviciu al sistemelor - procentul de disponibilitate a serviciilor 
sistemelor másurat pe durata unui interval de timp specificat, precum si evolutia 
acestuia. 

Nivelul serviciului de retea - procentul de disponibilitate a serviciilor retelei 
másurat pe durata unui interval de timp specificat, precum si evolutia acesteia. 
Nivelul de satisfacere al cerintelor de business - procentul de nevoi de business 
satisfácute de infrastructura si sistemele existente. 

Numărul de compromiteri - număr de incidente pe durata unei perioade date, în 
care rețeaua sau sistemele au fost compromise 

Impactul compromiterilor asupra organizației - pentru fiecare incident, numărul 
de ore, timpul şi personalul afectat de degradarea sau întreruperile cauzate de 
rețea, sisteme sau serviciile de aplicații. 

Costurile şi beneficiile investiţiilor - costurile directe şi indirecte, precum şi 
beneficiile ca urmare a investiţiilor legate de securitatea sistemelor 


Echipa de securitate pentru rețea şi sisteme este în mod uzual responsabilă cu 
definirea controalelor de securitate şi este interesată de modul în care programele, 
procedurile şi politicile de securitate rezolvă cerințele impuse în acest sens. 


Dacă sistemele responsabile pentru compromitere erau conforme cu politica de 
securitate? 


Ce schimbări ar trebui făcute la politica şi procedurile de securitate? 


Dacă politica nu îşi atinge scopul ce aspecte comportamentale trebuie 
modificate la nivelul politicii pentru atingerea obiectivelor? 


Ce tehnologii ar putea ajuta prevenirea unor compromiteri viitoare? 
Care a fost impactul tehnic al compromiterii? 


Echipa de securitate operaţională este responsabilă cu menţinerea unui nivel de 
securitate în limitele prevăzute de politica de securitate şi de regulă utilizează în 
decursul activităților de zi cu zi următoarele seturi de metrici: 


Structura vulnerabilitáti - este numărul cumulativ de vulnerabilitáti identificate în 
organizaţie clasificate după echipamentele conforme şi neconforme cu politica 
de securitate 

Încercări de intruziune - este numărul de încercări de intruziune 

Încercări de acces neautorizat - este procentul de accese neautorizate pentru 
diferite servicii de rețea sau sisteme 

Rapoarte de conformitate detaliată - este numărul de utilizatori şi echipamente 
conforme cu fiecare element al politicii de securitate 

Impactul de compromitere - va măsura utilizatorii afectaţi (datorată serviciului 
degradat, întrerupt), nivelul de date pierdut, modificat sau distrus; numărul de 
echipamente compromise; degradarea performanţelor reţelei şi sistemelor. 
Scanări suspecte de porturi - număr de scanări suspecte din organizaţie, timp de 
remediere, care este timpul între descoperirea compromiterii şi încheierea 
remedieri. 
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2.4.3 Implementarea programului de monitorizare 


2.4.3.1 Categorii de date utilizate in procesul de monitorizare 


Un prim pas al fazei de implementare constá in identificarea categoriilor de date care 
pot fi colectate si utilizate in procesul de elaborare a metricilor definite. In cele mai 
multe cazuri, aceste categorii de date sunt [PPNO6-02] [PPNO7-01][PNCNO9]: 


Datele de trafic complete - reprezinta totalitatea pachetelor de trafic colectate de 
senzori. In marea majoritate a cazurilor, acest tip de date reprezintá "materia 
primá" pentru sistemele IDS de retea. Totodatá, ele sunt utilizate pentru analiza 
detaliatá a alertelor, validarea intruziunilor, si investigatii post incident. Analiza si 
corelatiile stabilite pe baza acestui date tip sunt de natura sa confirme cu 
exactitate modul de operare a unui atac, precum si validarea ráspunsului 
implementat. Inregistrárile complete de trafic prezintá doua trásáturi care le fac 
valoroase: 

+ granularitatea (accesul la fiecare bit al pachetului de date face posibilă 
determinarea intruziunilor care nu ar fi posibil de detectat prin alte mijloace, 
cum ar fi utilizarea de cátre atacator a unei aplicatii de canal ascuns) si 

« relevanta aplicaţiei (accesul la informaţia disponibilă nivelului aplicaţie 
permite o mai bună înţelegere a interacțiunii între cele două entităţi atunci 
când aceasta nu este criptată). 

Datele de sesiune - reprezintă sinteza schimbului de pachete între două stații. 
Elementele de bază ale datelor de sesiune includ: adresele IP şi porturile 
sursá/destinatie, timpul de start al sesiunii şi o măsură a volumului de informaţii 
transferat pe durata sesiunii. Spre deosebire de sistemele IDS care urmăresc 
identificarea unei semnături sau anomalii, aplicaţiile de colectare a datelor de 
sesiune vizează identificarea şi arhivarea tuturor sesiunilor vizibile senzorilor. Pe 
măsură ce încărcarea de trafic creşte, analiza acestui tip de date reprezintă cea 
mai simplă metodă pentru a urmările mişcările atacatorilor şi succesiunea 
acestora în timp. Deoarece adesea, colectarea datelor complete de trafic este 
imposibil sau foarte greu de realizat pentru legăturile de mare viteză, datele de 
sesiune reprezintă cea mai bună aproximare a conversatiei între două entităţi 
din rețea. 
Datele statistice — reprezintă o sinteza a traficului de rețea pe o perioadă mai 
mică sau mai mare de timp. Asemenea celor două tipuri de date prezentate 
anterior, şi acest tip de date este neutru din punct de vedere al conţinutului 
comunicaţiei între staţii. Datele statistice pot fi de două categorii: statistici 
descriptive (rezultate ale agregării datelor de trafic complete într-o manieră clară 
şi coerentă, cum ar fi statisticile disponibile pe rutere) şi statistici deduse (unde 
rezultatele analizei efectuate asupra unui eşantion de populaţie reprezentativ, 
sunt extinse la întreaga populație). 

Datele de pe sisteme - sunt fişierele de jurnalizare generate de sistemele de 

operare, sau de aplicaţii (email, web, etc) ce rulează pe aceste sisteme, statistici 

despre încărcarea sistemelor, accesul utilizatorilor la resurse. 

Alerte IDS — Alertele sunt rezultatul unui proces prealabil de procesare şi analiză 

efectuat de sistemele IDS asupra datelor de trafic vizibil acestora (în cazul IDS 

de rețea) sau a datelor disponibile pe sisteme în cazul IDS de sistem. Pentru 
detectarea unor planuri de intruziune pe scară largă, este necesară corelarea 
tuturor datelor disponibile (alerte IDS din mai multe segmente de rețea ale 
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organizaţiei, rutere, jurnale firewall, fişiere de log de pe staţii, date de sesiune si 
date de trafic complete). 

e Date vulnerabilitati — sunt date generate de sistemele proprii de detectie a 
vulnerabilitátilor. Pot fi in format fisier, insa cele mai multe organizatii au console 
pentru managementul si prezentarea acestora 

e Notificari de neconformitate — sunt generate de sistemele de monitorizate ce 
urmáresc gradul de conformare a statiilor din organizatie cu politica interná sau 
cu alte reglementári (de exemplu: sistemele ce proceseaza pláti electronice pe 
cárti de credit trebuie sá se conforme unor practici si standarde de domeniu cum 
are fi PCI (Payment Card Industry) 

e Date activitate utilizatori — pentru minimizarea riscului anumite organizatii 
monitorizeazá activitatea utilizatorilor cu privilegii sporite. De asemenea, avánd 
in vedere senzitivitatea datelor utilizate in procesul de monitorizare a securitatii, 
se recomandá monitorizarea activitátii personalului si verificarea periodicá a 
cazierului juridic a personalului implicat in acest proces 

e Date management a retelei — sunt date generate de sistemul de management 
ale retelei care poate oferi indicatii asupra activitátilor atipice din retea. 

e Date alarme proactive ale sistemelor — pot fi date statistice de timp real generate 
în organizaţiile mari pe baza alarmelor de monitorizare a aplicaţiilor din 
organizatie (de exemplu: alarme simultane sau in volum neobisnuit al sistemelor 
de procesare a tranzactiilor de business specifice) 


2.4.3.2 Implementarea tehnicá a solutiei de monitorizare 


O descriere detaliată a tehnologiilor de monitorizare ce pot fi utilizate pentru 
implementarea programului de monitorizare este descrisá in capitolul 3, iar modul de 
integrare a diverselor componente, precum, corelarea si raportarea este descrisá ín 
capitolul 4. 


2.4.4 Raspunsul la incidentele de securitate 


Incidentul reprezintá o violare a politicilor si procedeelor de securitate ale organizatiei. 
Pentru a detecta si ráspunde eficace la aceste incálcári ale politicilor de securitate, este 
necesar ca organizatia sá dispuná de politici si proceduri de ráspuns la incident. 


2.4.4.1 Componentele procesului de tratare a incidentelor 


Ghidul de tratare a incidentelor de securitate in sisteme de calcul NIST SP 800-61 
prezintá principalele faze ale procesului de ráspuns in caz de incidente: 
1. Prepararea - Organizatiile trebuie sá ia másuri prealabile pentru a ráspunde eficace 
in caz de incident. Actiunile care se recomandá in aceasta fazá sunt: 
e Dezvoltarea de politici si proceduri de tratare a incidentelor 
e Realizarea unui program de instruire si exercitii periodice cu orientare specifica 
e Stabilirea in avans a unei echipei de răspuns la incidente (ERI) care va fi 
responsabilá pentru coordonarea ráspunsurilor organizatiei in caz de incident 
e Stabilirea mai multor mecanisme de comunicare în scopul asigurării coordonárii 
între membrii ERI, personalul tehnic, conducerea organizaţiei chiar şi în cele mai 
nefavorabile situații. 
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Detectia si analiza - Ín cazul unor incidente de tip ce afecteazá infrastructura de 
retea (cum ar fi atacuri DOS, sau pe bazá de viermi) o detectie si validare in cel mai 
scurt timp este necesará pentru a evita contaminarea pe scará largá. 

O detectie cát mai rapidá poate ajuta organizatia sa minimizeze impactul 

incidentului, micşorând considerabil timpul şi costurile de refacere. Acţiunile ce se 

recomandă în această fază sunt [CBU--][DOE--]: 

e Monitorizarea buletinelor de notificare publicate de organizaţii cum ar fi US 
CERT (Computer Emergency Response Team), US DOE-CIAC (US Department 
of Energy Computer Incident Advisory Capability) 

e Monitorizarea alertelor şi evenimentelor de securitate produse de diverse 
controale tehnice cum ar fi: firewalls, IDS, antivirus, fişiere jurnal de pe sisteme 
(web, email, etc) etc. 

e Evaluarea datelor de incident din sursele initiale cum ar fi rapoartele utilizator, 
sau ale personalului IT, şi controalele tehnice pentru a avea o înțelegere 
completă a mecanismului de intruziune . 

e Construirea unui set de aplicaţii ce va fi utilizat în identificarea intruziunii, şi a 
altor activități de analiză 

e Stabilirea unui set de criterii de prioritizare pe baza căruia se identifica nivelul 
corespunzător de răspuns pentru incidentele ce afectează rețeaua şi sistemele 
organizaţiei. 

Izolarea - Această fază vizează limitarea incidentului în vederea suprimării 

intruziunii. In cazul incidentelor de tip malware (viruşi, viermi) izolarea are două 

componente majore: stoparea propagării (compromiterii de noi sisteme) şi 
prevenirea efectuării de alte daune pe sistemele deja compromise. În adresarea 
incidentului, este important ca organizaţia să decidă asupra metodelor de izolare ce 
vor fi utilizate în faza iniţială a răspunsului. Organizațiile vor trebui să aibă strategii 
şi proceduri disponibile pentru a lua deciziile legate de izolarea incidentului care să 
reflecte nivelul de risc accepiabil pentru organizaţie. Politicile organizaționale 

trebuie să stabilească clar persoana autorizată să ia decizii majore de izolare a 

incidentului şi circumstanţele aferente. Recomandările specifice acestei faze includ 

următoarele: 

e Identificarea staţiilor compromise de incident. Pentru organizaţiile mari trebuie 
stabilite în prealabil metodele şi tehnicile de identificare a staţiilor din rețea 

e Dacă este cazul, si este posibil, se vor oferi utilizatorilor instrucţiuni pentru a 
identifica dacă staţiile client au fost compromise şi măsurile ce ar trebui luate. 
Totuşi, organizaţiile nu trebuie să se bazeze exclusiv pe utilizatori chiar şi în 
cazul izolării incidentelor care afectează organizaţia pe scară largă. 

e Dacă software-ul malitios nu poate fi identificat şi izolat prin actualizarea 
softwarelui antivirus, organizaţiile trebuie să fie pregătite să utilizeze alte 
mijloace pentru izolare. Organizațiile trebuie sa fie în măsură să trimită 
eşantioane de cod malitios furnizorului de aplicaţie pentru analiză, precum şi să 
contacteze organizaţiile de răspuns la incidente şi furnizorii de antiviruşi atunci 
când este necesară consultarea în legătură cu modul de adresare a noilor 
ameninţări. 

e Pentru izolarea incidentului, organizaţia trebuie să fie pregătită chiar şi pentru 
întreruperea totală sau blocarea serviciilor utilizate de programul malitios, 
inclusiv a aplicaţiilor şi serviciilor de bază (web, e-mail, etc). 

e Organizaţia trebuie să fie în măsură să răspundă problemelor create de alte 
organizaţii ca urmare a dezactivării propriilor lor servicii în răspuns la un incident. 
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e Daca situatia o impune, organizatia va dispune restrictii suplimentare de 
conectivitate pe o durată limitată (de exemplu: suspendarea accesului la 
Internet, dezactivarea de porturi, rerutarea traficului, punerea în carantină a 
stațiilor compromise) 

4. Eradicarea - Principalul obiectiv al acestei faze este eliminarea amenințării. Spre 
exemplu, în cazul atacurilor de tip malware se urmăreşte ştergerea aplicaţiei 
malware din sistemele compromise. Pentru atacurile de tip DoS, obiectivul este 
blocarea completă a traficului de atac. Datorită necesităţii unor eforturi de eradicare 
relativ mari, organizaţiile trebuie să fie pregătite să utilizeze concomitent diverse 
combinaţii de tehnici de eradicare în situaţii variate. Organizațiile trebuie sa aibă în 
vedere desfăşurarea prealabilă de activități de instruire care stabilească nivelul de 
aşteptare pentru eforturile de eradicare şi refacere în caz de incident. 

5. Refacerea - Principalele aspecte ale acestei faze sunt restaurarea functionalitatii şi 
a datelor pentru sistemele afectate de incident, şi ridicarea restricţiilor de 
conectivitate impuse pe durata fazei de izolare. Organizațiile trebuie să aibă în 
considerare scenariile cele mai nefavorabile şi modul de restaurare (spre exemplu: 
reinstalarea de la zero a sistemelor compromise, sau pe baza unei versiuni salvate 
anterior). Ridicarea restricţiilor de conectivitate se face atunci când numărul de staţii 
compromise, sau vulnerabile este suficient de mic, iar eventuale incidente 
secundare au consecinţe reduse. 

6. Activități post-incident - Deoarece incidentele de securitate ce afectează 
sistemele pot fi destul de costisitoare, este necesar ca organizaţia să analizeze 
atent incidentul pentru a lua măsuri de îmbunătăţire a defensivei şi modului de 
tratare a incidentelor în scopul prevenirii unor situaţii similare. Pe baza acestor 
măsuri, se vor determina schimbări în politica de securitate, schimbări în 
configuratiile sistemelor, cát şi amplasarea de controale de detecție şi prevenire a 
unor ameninţări de acest gen. 


Datorită ritmului destul de ridicat al apariţiei de noi amenințări, organizaţiile trebuie să 
stabilească capabilități robuste şi flexibile de prevenire şi tratare a incidentelor pentru a 
adresa atât amenințările actuale cât şi cele pe termen scurt, şi cu posibilități de 
modificare pentru a adresa amenințări viitoare pe termen lung [PPNO6-02]. Această 
"competitie" continuă între ameninţări şi defensivă impune organizaţiilor să fie la curent 
în privința celor mai noi ameninţări şi a controalelor de securitate disponibile pentru 
contracararea lor. 


2.4.4.2 Clasificarea incidentelor 


Definirea unei cadru formal pentru clasificarea incidentelor va permite colectarea într-o 
manieră mai eficientă a elementelor caracteristice incidentului ceea ce va permite 
[CBU--]: 

e O reacție mai rapidă la incidente 


e O comunicare mai bună atât între membri echipei de răspuns la incidente, cât si 
în relația cu organizațiile naționale la care se raportează incidentele. 


e Posibilitatea de a analiza diferite tendințe si genera statistici 
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Figura 2.6 — Clasificarea incidentelor folositá de CERT US. 


Organizatiile CERT nationale au create taxonomii pentru raportarea incidentelor, insa 
adoptia a fost limitatá doar la nivelul organizatiilor mari, din motive de complexitate, si 
de resurse suplimentare necesare documentarii detaliate asupra incidentului. Insá cea 
mai importantá utilitate a unor astfel de clasificári formale a fost de a oferi organizatiilor 
o mai buna intelegere a terminologiilor precum si un cadru eficient pentru construirea 
programelor de educare a personalului propriu. 


2.4.5 Revizuirea si actualizarea programului de monitorizare 


Succesul unui program de monitorizare va fi determinat de o tratare procesualá 
acestuia, in care strategiile si chiar programul in sine sunt reevaluate periodic, sau ca 
urmare a unor schimbári majore in organizatie, in modul de operare al acesteia, sau in 
mediul in care aceasta actioneazá. Aceastá reevaluare va asigura o operare care sá 
tina seama de nivelele tolerabile de risc, relevanta metricilor utilizate, îmbunătăţirea 
vizibilitátii asupra spatiului de amenintári, adresarea mai rapida a vulnerabilitatilor, 
detectia si ráspunsul mai rapid la incidente. 


Astfel, programul de monitorizare va trebui la rándul sáu monitorizat, astfel incat sa 
opereze in concordanta cu obiectivele organizatiei, mediul operational, si amenintarile 
momentului respectiv de timp. 


Actualmente, multe organizatii au implementat programe de ráspuns la incidente, insá 
continuá sá trateazá atacurile ca evenimente singulare fárá a colecta informatii despre 
ele. Colectarea unor astfel de informatii ar oferi posibilitatea de a analiza evolutia in 
timp a amenintarilor la adresa organizatiei, precum si oportunitatea identificárii unor 
riscuri structurale care sá poatá fi evaluate in procesul de analizá a riscului. 


Pornind de la cadrul de lucru CERT (prezentat in sectiunea precedentá), compania 
Verizon a elaborat un cadru extins - VerlS (Verizon Incident Sharing) - ce permite 
colectarea si analiza intr-o manierá consistenta a informatiilor despre atacuri, astfel 
încât organizaţiile să aibă o mai bună înțelegere a evenimentului, precum si a 
impactului asupra organizaţiei. Cadrul de lucru VerlS cuprinde patru secțiuni, fiecare 
captând aspecte diferite ale unui incident de securitate, şi anume [VER10]: 
e Aspecte demografice - cum ar fi data incidentului, localizarea geografică, tipul 
activităţilor desfăşurate de organizaţie 
e Clasificarea incidentului - fiecare incident (sau scenariu de ameninţare) este 
modelat ca o serie de evenimente. Fiecare eveniment este descris pe baza unui 
model de ameninţare ale cărui metrici (prezentate în figurile 2.7 —2.10) sunt 
grupate în următoarele categorii: 
+ „Asset — bunul valorizat şi protejat de organizaţie care a fost afectat 
+ „Agent — entitatea ale cărei activităţi au afectat bunul organizaţiei 
«€ ,Action" — activităţile efectuate sau declanşate de agent care au afectat bunul 
+ „Attributes” — atributele de securitate ale bunului care au fost afectate 
« Descoperirea şi rezolvarea - analizează evenimentele ce au urmat imediat 
incidentului şi concluziile rezultate. Metricile din această secțiune includ evoluția 
în timp a incidentului, modul în care incidentul a fost descoperit, resursele 
utilizate, controalele de securitate folosite şi dacă acestea au fost eficace 
e Clasificarea impactului - detaliază pierderile directe de bunuri (date, sisteme, 
etc), întreruperi în operaţiile organizaţiei, costurile asociate răspunsului şi 
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refacerii, precum si costurile indirecte (afectánd imaginea organizatiei sau 
competitivitatea acesteia) 


Utilizarea cadrului VerlS permite organizatiilor identificarea de trenduri pe baza carora 
pot lua decizii de imbunatatire a strategiilor si tacticilor de securitate. Raportul de 
investigare a breselor de date pe care Verizon il produce anual (Verizon Data Breach 
Investigation Report), si care este utilizat pe scará largá de comunitatea de securitate 
pentru a intelege evolutia stárii de securitate in Internet, utilizeaza date din raspunsurile 
la incident pe care Verizon le adreseazá si care sunt structurate pe baza cadrului 
VerlS. 


in mod traditional evaluarea riscurilor are la bazá scanárile de vulnerabilitati si testele 
de penetrare, care testeaza in mod selectiv ceea ce se poate intampla. VerlS poate 
aduce o noua dimensiune fazei de evaluare a procesului de management al riscului — 
cea bazata pe evidente. 


Applications 


Web application Middieware 
Servers and Systems 
Authentication server DNS server Payment switch/gateway 
Backup server Fax server POS store controller 
Chat/IM server File server Print server 
Code repository FTP server Proxy server 
Data warehouse IDS/IPS server Remote Access server 
Database server Log server SCADA system 
DHCP server Mail server Software distribution server 
Directory server (LDAP, AD) Mainframe Terminal services server 
Distributed Control System Media server Web server 
Networks and NW Devices 
Private Branch Exchange (PBX) Private WAN link/line Hub 
Demarcation point/device (ie, NID) Public WAN link/line Hardware security module (HSM) 
Wiring closet Mobile broadband network IDS/IPS sensor 
LAN cabling/jack Modem bank Wireless Access Point Remote Terminal Unit (RTU) 
Telephone network/line VoIP appliance Programmable Logic Controller 
Storage Area Network (SAN) Router Firewall 
Wireless LAN Switch 
End-User Devices 
Desktop computer Uncontrolled computer PIN entry device/Card reader 
Laptop computer POS system/terminal Telephone 
Smartphone Self-service kiosk VoIP phone 
Mobile phone Automated Teller Machine (ATM) Printer/copier/scanner/fax 
PDA Pay at the Pump terminal User authentication device 
Offline Data 
Backup tapes Exported data Hard disk drive 
Disks (CDs, DVD, Diskettes) Flash drives/cards Media player/recorder 
Documents 
People 
Executive/Upper Mgt Janitorial staff Finance/Accounting staff 
Auditor Security staff End-User 
IT Administrator Human resources staff Partner 
Developer Help desk staff Customer 
Maintenance staff 
Facilities 
Camera/video device Physical barriers (win, doors) Uninterruptible Power Supply 
Fire suppression system Physical security system (UPS) 
HVAC system Power infrastructure Utilities infrastructure 


Figura 2.7 - Model de ameninţare VerlS — Metrici categoria , Asset" 
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Hacking 
Authentication Attacks 
Authorization Attacks 
Command Execution/Injection 
Attacks 
Not Applicable 
Backdoor or control channel 
Desktop/Laptop 
Network devices 

Malware 
Backdoor 
Brute-force access to other systems 
Command and Control 
Destroy or modify data on system 
DoS local system 
Encrypt or sieze data on system 
Grayware, Adware, and Scareware 
Email 
Installed by other malware 
Installed by remote attacker 
Instant Messaging 

Social 
Baiting Blackmail/Extortion 
Disinformation 
Elicitation 
Hoax/Scam 
Blogs/Forums 
Documents 
Email 


In-person 

Misuse 
Abuse of administrative privileges 
Abuse of system access 


Storage in non-approved device 

Storage in non-approved format 
Physical 

Assault and Battery 

Network access 

Device access (via local interface 


Abuse of Functionality Encryption Attacks PATH 
Denial of Service Protocol Manipulation 
Client-side Attacks Miscellaneous 
Possession or physical access Server/System TYPE 
Remote access and control Web application 
services/software Wireless network 
Harvest or index data on system Scan or footprint network PATH 
Infect removable media or devices Send data to external entity 
Install additional malware or Send spam 
software spyware 
Keylogger Worm - email propagation 
Packet/Network sniffer Worm - network propagation 
Network propagation Programmed into system/software | TYPE 
P2P/File sharing Web/Internet (auto-executed) 
Portable media and devices Web/Internet (user-executed) 
Phishing (or any type of *ishing) Spoofing/Forgery PATH 
Pretexting Threat of harm 
Repudiation Influence tactics 
Spam (unsolicited messagi 
Instant messaging Social Networking site TYPE 
Peer to Peer network Software 
Phone Web/Internet (besides SN, blogs) 
Portable media 
Storage in non-approved location Violation of asset disposal policy TYPE 
Unapproved changes & workarounds Violation of data retention policy 
Use of unapproved hardware/devices | Violation of email/IM use policy 
Use of unapproved software/services | Violation of web/Internet use pol. 
Passive interception Sabotage Tampering PATH 
Snooping Theft 
Tailgating Wiretapping 
External location - Store, restaurant, etc TYPE 


Victim location - Outdoor area, grounds 
Victim location - Disposal area 

Victim location - Indoor, public area 
Victim location - Indoor non-public area 
Victim location - Indoor high security area 


External location - Airport, train, subway, etc 
External location - Car 
External location - Business partner facility 


Capacity overload 

Classification or labeling error 

Data entry error 

Disposal error 

Maintenance error 

Gaffe (inadvertent disclosure) 
Environmental 


Infrastructure Hazards 


Electromagnetic interference 
Static electricity/ESD 

Power failures and fluctuations 
Water leaks and discharges 


General user error 

Loss or misplacement 
Misconfiguration 

Misaddress or misdelivery 
Misinformation (giving false info) 


Omission 

Physical accidents 
Programming error 
Publishing error 
System malfunction 
Trips and spills 


Natural Hazards 
Deterioration and degradation 
Dust/dirt 
Earthquake 
Extreme temperatures 
Fire 
Flood 
Humidity 
Hurricane 
Landslide 
Lightning 


Meteorites and astreroids 
Pathogen 

Snow/Ice 

Tornado 

Tsunamis 

Volcanic eruption 

Vermin 

Wildfires 

Wind 

Hazardous materials 


Figura 2.8 - Model de amenintare VerlS — Metrici categoria ,,Action” 
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Agent 
External 
Activist group 
Auditor 
Bot or Botnet 
Corporation 
Internal 
Auditor 
End-User 
Executive/Upper Mgt 
Finance/Accounting staff 
Partner 
Auditor 
Data Processing and Analysis 
Hardware vendor 
Hosting provider 
Information/Content provider 


Customer (B2C) 
Force majeure 
Government 


Help desk staff 
Human resources staff 
Internal system or site 
IT/Security Admin 


Janitorial services 

Onsite IT management/support 
Security guard services 

Remote IT management/support 
Shipping/logistics provider 


Maintenance/Construction crew 
Organized Criminal group 
Unaffiliated person(s) 


Janitorial staff 
Maintenance staff 
Security guard 
Software developer 


Software as a Service provider 
Software developer/vendor 
Storage provider 
Telecommunications provider 


Figura 2.9 - Model de ameninţare VerlS — Metrici categoria Agent" 


Attributes 
Confidentiality 
Possession or Control 


Integrity 
Authentici 


Availability 
Utili 


Figura 2.10 - Model de amenintare VerlS — Metrici categoria ,,Attributes” 
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Motto: Nici o problemá nu poate rezista asaltului sustinut al gándirii. 
- Voltaire 


CAPITOLUL 3 


TEHNOLOGII DE MONITORIZARE A SECURITÁTII 


Existá o multitudine de instrumente si tehnologii disponibile pe care o organizatie le 
poate folosi eficient si eficace pentru obtinerea, agregarea, analiza, si raportarea 
datelor cu relevantá in procesul de monitorizare, incepand de la nivelul componentelor 
individuale ale infrastructurii (echipamente de retea, sisteme) si pana la nivelul 
managementului executiv cu atributii de securitate. 


3.1 Clase de tehnologii de monitorizare a securitátii 


3.1.1 Tehnologii pentru culegerea directa a datelor 


Tehnologiile de culegere directá a datelor sunt cele care permit observarea, detectia, 
prevenirea sau jurnalizarea amenintárilor si vulnerabilitátilor de securitate cunoscute, 
precum si managementul diferitelor aspecte ale controalelor de securitate 
implementate pentru a adresa acele ameninţări şi vulnerabilitáti. 


Clasele de tehnologii ce facilitează culegerea de date utilizate în procesul de 
monitorizare completa a securităţii sistemelor şi rețelelor organizaţiei sunt [PPNO9]: 

e Managementul vulnerabilitátilor - Scanerele de porturi şi vulnerabilitati sunt 
instrumente utilizate adesea de agenţii de ameninţare în faza de pregătire a 
atacurilor pentru identificarea de vulnerabilitati ale echipamentelor din reţea, 
sistemelor de operare şi ale aplicaţiilor uzuale. Organizațiile pot utiliza aceste 
instrumente pentru a identifica în mod proactiv gradul de expunere la 
vulnerabilitáti, identificarea versiunilor software neactualizate, cát şi pentru 
validarea conformitátii cu politica de securitate [NIST SP800-40v2]. 

e Managementul patch-urilor - Instrumentele de management al patch-urilor pot 
asista in identificarea automata a patch-urilor necesare pentru sistemele ce au 
fost identificate in prealabil avánd vulnerabilitáti, si asistá administratorii de 
sistem in implementarea procesului de patch-ing [NIST SP800-40v2]. 

e Managementul evenimentelor si incidentelor - Monitorizarea evenimentelor din 
sisteme sau retele, si analiza acestora pentru a identifica indicatori ai unor 
posibile intruziuni constituie baza detectiei intruziunilor. Evenimente cu relevanta 
pentru procesul de securitate sunt disponibile în fişiere de jurnalizare şi traficul 
de retea. Instrumentele in aceasta categorie sunt: sniffere, sisteme IDS de retea, 
sisteme IDS pentru statii, detectoare de intruziuni bazate pe fisiere de jurnalizare 
[NIST SP800-94] [NIST SP800-61] [NIST SP800-92]. 
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Detectia Malware - Oferá posibilitatea de a identifica si raporta prezenta de 
viruşi, troieni, spyware, sau a altor categorii de cod malitios pe sau destinat 
sistemului ţintă. Organizațiile amplasează mecanisme de detecție Malware pe 
sistemele aflate în punctele de intrare/ieşire ale organizaţiei ` firewall, servere e- 
mail, servere web, servere de acces de distanţă şi sistemele utilizator din rețea 
pentru a detecta şi şterge codul malitios transportat prin sistemul de poştă 
electronică, medii externe, sau acces web. Utilizate în conjunctie cu procedurile 
de management al configuratiei, precum si controale de integritate a software- 
ului, mecanismele de detectie Malware, pot fi foarte eficiente in prevenirea 
executiei de cod neautorizat [NIST SP 800-83]. 

Managementul configuratiei - Permite administratorilor sá configureze sabloane 
de setári, sá monitorizeze schimbári ale acestora si sá le restaureze atunci cánd 
este necesar. Managementul numeroaselor configuratii intálnite in sisteme si 
elementele de retea, a devenit imposibil de realizat utilizand metode manuale. 
Automatizarea solutiilor de configurare precum si a instrumentelor de scanare a 
configuratiei sistemelor, oferá abilitatea de a determina conformitatea cu o 
configuratie de referintá sigurá [NIST SP 800-37]. 

Managementul rețelei - Instrumentele din aceasta categorie ajută la 
descoperirea statiilor, inventarul acestora, controlul schimbarilor, monitorizarea 
performantelor. Unele instrumente automatizeaza configurarea dispozitivelor si 
managementul schimbarii si valideaza conformitatea dispozitivului cu politicile 
preconfigurate [NIST SP800-115]. 

Managementul inventarului de echipamente si sisteme — Instrumentele din 
această categorie (adesea combinând instrumente configurare a sistemelor, 
cele de management de rețea, sau a licenţelor) ajută la menţinerea inventarului, 
precum şi managementul modificărilor, hardware si software din organizație 
[NIST SP 800-18]. 


3.1.2 Tehnologii pentru agregare si analizá 


Aceste tehnologii colecteazá date provenind de la unul sau mai multe controale de 
securitate, fie direct, fie prin intermediul tehnologiilor mentionate in paragraful anterior, 
pentru a le corela, analiza si reprezenta intr-un format care sá suporte luarea de decizii, 
sau evaluarea eficacitatii controlului [NIST SP 800-53]. Grupele de tehnologii 
reprezentative din aceasta clasă sunt [PPNO7-01]: 


SIEM (Security Information and Event Management) - Instrumentele SIEM sunt 
aplicaţii centralizate de management al fişierelor log sau al alertelor generate de 
sistemele IDS care permit agregarea, consolidarea, auditarea şi analiza 
înregistrărilor provenind din mai multe surse ale organizaţiei. Produsele SIEM 
includ suport pentru mai multe tipuri de surse de înregistrări de audit cum ar fi: 
sisteme de operare, servere de aplicaţii, şi software de securitate. Serverul 
SIEM analizează datele provenind din surse multiple, corelează evenimentele şi 
identifică şi prioritizează pe cele mai importante dintre ele. Câteva produse din 
această categorie ar fi: Cisco MARS, HP OpenView, IBM Tivoli, OSSIM. 

Console de management al securității - Acest gen de instrumente consolidează 
şi comunică informaţia relevantă despre starea de securitate a organizației în 
timp real către personalul cu atribuţii în zona managementului securității 
(administratori de sistem, personal de securitate, şi management executiv) 
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[NIST SP800-27]. Consola de securitate prezintá informatii intr-un format 
semnificativ si usor de interpretat. 


7) IP Risk Dashboard - Mozilla Firefox = lolx 
File Edit View History Bookmarks Jools Help 
IP Risk Dashboard | ate 
> | hte: /imyorg.com/SeeMon/Dashbosrd IP Risk. Peperting || E T 


“| Command ta troubles... 


JB Mast visited (BJ) Getting started D eweb Portal - vzeusi... 


5 of Your Mast Vulnerable Applications (All Applications) 4 
f - 
Total High Medium Policy | Category High | Medium | Policy 
's Vulnerabilities | Vulnerabilities Violations DMZ 0 ü oO 
Application Subordinate E : 1 = -F == | 
(Cowith Appl! Appl |Appl| Appl | Appl} Appl | |Privacy o | o D 
Vuln's) | Total [Dependent |Total |Dependent | Total [Dependent | [— i 
Finance 0 | oO D 
iTerro Sebastian Nicolaescu |17 (7195) | 24 0 D ü | 0 0 
CNP sebastian Nicolaescu | 6 (50%) | 7 ü 0 ü 1 D 
MTDSRo  |Sebastian Nicolaescu |3(10096) | 3 D ü 0 1 0 
ITSec Desk |Sebastian Nicolaescu |15 (13%) | 3 D ü 0 1 D 
BMS-L [Sebastian Nicolaescu 6 (17%) | 3 D D 0 D D 


Nate: ppl Dependent indicates that the application owner needs to take action so the vulnerabilities can be remediated. 


Figura 3.1 - Exemplu consola de management a riscului (sectiunea vulnerabilitati) 


3.1.3 Tehnologii de automatizare 


Automatizarea este o modalitate eficientá pentru a realiza o monitorizare cu caracter 
continuu in ceea ce priveste captura, corelarea, analiza si raportarea stárii generale de 
securitate a organizaţiei [NIST SP800-1 17]. 


Cáteva exemple de activitáti de securitate automatizate includ : 
e Scanarea vulnerabilitatilor si aplicarea patch-urilor corespunzătoare. 


Activarea configuratiillor de securitate bazate pe setările din sablonul de 
securitate construit în prealabil 


Scanarea gradului de conformitate cu configuraţia de securitate predefinită 


Colectarea metricilor şi măsurătorilor de securitate şi raportarea acestora 
utilizând tehnologii de tip consolă. 


Tehnologiile şi instrumentele prezentate în acest capitol, suportă o varietate de 
protocoale şi resurse permițând implementarea unor arhitecturi de monitorizare cu grad 
ridicat de interoperabilitate între componente. 


3.2. Tehnologii de scanare a vulnerabilitatilor 


Scanarea vulnerabilitátilor are la bază conceptul scanării de porturi. Scanerul de 
vulnerabilitáti identifică staţiile active şi porturile deschise pe acestea, furnizând însă şi 
informații cu privire la vulnerabilitátile asociate. Scanerele de vulnerabilitáti furnizează 
următoarele capabilități [NIST SP 800-115]: 


e Identificarea staţiilor active din reţea 

e Identificarea serviciilor active şi vulnerabile ale unei stații 

e Identificarea sistemelor de operare şi a vulnerabilitátilor asociate acestora 
e Identificarea setărilor eronate 
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Stabilirea unei baze pentru testul de penetrare 


Dintre beneficiile utilizárii acestora de cátre organizatie se amintesc [PNN10]: 


Reprezintá instrumente proactive pentru identificarea propriilor vulnerabilitátilor 
inaintea atacatorilor 

Oferă informaţii cu privire la modalitatea de eliminare a vulnerabilitátilor 
descoperite 

Reprezintá un mijloc relativ rapid si usor de utilizat cu ajutorul cáruia se poate 
cuantifica gradul de expunere la vulnerabilitáti al organizatiei 

Identifica versiunile software ce trebuie actualizate, si în conjunctie cu 
instrumentele de management al patch-urilor se determiná actualizárile 
necesare 

Valideazá conformitatea cu politica de securitate a organizatiei in ceea ce 
priveste aplicatiile instalate, serviciile active, configuratiile sistemelor, etc. 


Dintre limitárile scanerelor de vulnerabilitati se amintesc [PNN10]: 


Genereazá un volum de trafic de retea mult mai mare scanerele de porturi, ceea 
ce necesitá o planificare si utilizare adecvatá pentru a nu avea impact negativ 
asupra activitátilor operationale ale organizatiei. 

Necesita actualizari constante ale bazei de date cu vulnerabilitáti pentru a putea 
recunoaşte vulnerabilitatile recente. Astfel, în alegerea scanerului de 
vulnerabilitati trebuie avut in vedere frecventa cu care actualizarile sunt 
disponibile 

Ineficiente in ceea ce priveste detectia noilor tipuri de vulnerabilitati 


Pentru o organizatie tipica, practicile de securitate operationala curente recomanda 
[NIST SP 800-40v2]: 


Scanarea de vulnerabilitati a staţiilor la cel mult trei luni pentru sistemele fara 
importanta critica pentru organizatie si infrastructurá, si scanarea in regim 
continuu (monitorizarea permanentá) a sistemelor critice (firewall-urilor, baze de 
date, etc). 

Folosirea mai multor tipuri de scanere de vulnerabilitáti. O solutie poate fi o 
combinatie de scaner comercial si unul bazat pe surse deschise. 


Rezultatele obținute în urma scanárii vulnerabilitatilor trebuie documentate, iar 
deficiențele descoperite trebuie remediate după cum urmează: 


Actualizarea sau aplicarea de patch-uri de urgenţă sistemelor vulnerabile pentru 
eliminarea vulnerabilitátilor 

Deconectarea staţiile neautorizate şi dezactivarea serviciilor neutilizate 
Impunerea de controale de limitare a accesului la serviciile vulnerabile (la nivel 
de firewall, şi stație), în cazul în care remedierea necesita timp, iar serviciul nu 
poate fi oprit. 

Revizuirea controalelor de securitate pentru a asigura o rată de vulnerabilitati 
scăzută 


Unul din cele mai eficiente instrumente ce poate fi utilizat pentru scanarea de porturi şi 
care posedă şi elemente de bază în scanarea vulnerabilitátilor este Nmap [Nma--]. 
Nmap suportă o gamă variată de tehnici de scanare (ICMP, TCP, UDP), oferind 
totodată posibilităţi avansate de identificare a protocolului serviciilor, a adreselor IP, 
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scanare ascunsá, si analize de filtrare a traficului. Scanárile Nmap se desfásoará ín 
mai multe faze secventiale dupá cum urmeazá : 


Prescanári de scripturi - motorul de scripting Nmap (MSN) utilizeazá o colectie 
de scripturi special destinate obtinerii de informatii aditionale despre sistemele 
tintá. Este activata de optiunea —sC si are loc doar cand scripturile necesare 
sunt selectate (exemple de astfel de scripturi sunt: dhcp-discover si broadcast- 
dns-service-discovery, care utilizeazá interogári de tip broadcast pentru a obtine 
informatii de la serviciile standard de retea). 

Enumerarea tintei - pe baza specificatorilor de statie oferiti (poate fi combinatie 
de DNS, adrese IP, notatie CIDR), Nmap genereazá lista adreselor IP care vor fi 
scanate. 

Descoperirea stațiilor - scanarea începe prin descoperirea staţiilor active care 
astfel vor necesita o investigaţie mai amănunţită. Acest proces este numit 
descoperire staţie (sau scanare ping). Nmap utilizează tehnici multiple de 
descoperire cum ar fi cereri ARP, sau combinaţii de interogări mai elaborate 
bazate pe TCP şi ICMP. 

Rezoluția DNS inversă - după determinarea staţiilor ce se vor scana, vor obţine 
numele DNS inverse ale tuturor staţiilor active identificate de scanarea ping. 
Scanarea porturilor - este componenta principală a Nmap. Răspunsurile (sau 
lipsa de răspuns) asociate sondărilor trimise sunt utilizate pentru clasificarea 
stării porturilor (deschis, închis sau filtrat) de pe staţia ţintă. 

Detectia versiunii - pentru porturile care au fost deschise, Nmap poate trimite o 
varietate de probe pentru a determina versiunea de software care rulează pe 
staţia țintă, verificând răspunsurile recepționate pe baza unei baze de date de 
semnături de servicii cunoscute. 

Detectia sistemului de operare - are la bază caracteristici specifice de 
implementare ale standardelor de rețea în diverse sisteme de operare. Pe baza 
măsurării acestei diferențe este adesea posibilă determinarea sistemului de 
operare care rulează pe staţia ţintă. 

Traceroute - Nmap conţine o implementare optimizată de traceroute, identificând 
în paralel rutele de rețea pentru mai multe staţii pe baza celor mai bune pachete 
de sondare generate în fazele de descoperire anterioare. 

Scripturi de scanare - majoritatea scripturilor motorului de scripting vor fi rulate în 
această fază, si au ca rol detectarea vulnerabilitátilor serviciilor, identificarea de 
Malware, colectarea de informaţii adiţionale din bazele de date şi alte servicii de 
rețea, precum şi detecția avansată a versiunii. 

Rezultatele de ieşire - Nmap colectează toate informaţiile obţinute şi le salvează 
într-un fişier sau le afişează pe ecran. 


Nessus este un pachet de testare a vulnerabilitátilor ce poate realiza teste automate 
asupra unor rețele ţintă, incluzând scanari ICMP, TCP şi UDP, testarea unor servicii de 
rețea (Apache, MySQL, Oracle, Microsoft IIS, şi altele), precum şi capacităţi de 
raportare a vulnerabilitátilor identificate [Nes--]. Nessus este unul dintre cele mai 
utilizate instrumente de scanare şi testare a rețelelor. Nessus are două componente 
(demon şi client) ce lucrează intr-o manieră distribuită permițând astfel un management 
şi control eficient. Rapoartele generate de Nessus sunt uşor de înţeles, concise 
conţinând uneori alerte de tip “false pozitive”, astfel fiind necesar ca personalul de 
securitate să parcurgă manual raportul necesitând totodată un înalt nivel de cunoștințe 
şi experienţă. 
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I) Dashboard IP Risk Reporting - Mozilla Firefox 


fle. Et Way "mër Bookmarks Dys Helo 


Dashboard 1P Risk Reporting | = b 
E mitn: //myorg.com/ «eos ash ses cons I E ‘ 
TE Most Visited. Gi Gething Started D eh Portal - VZBusi, Commend to troubles 


Vnlnerability & Violation details for; CNP 


| > Application Dependent | Report Filters: V False PosilivesArcepted Servicessintormalional Ba | 


| Application Information IP Information DNS 
tree. EAR i frm DEF Host Vulnerability Risk Reported by |Open Ports | Scan Date 
| Appl Custodian _ IP Owner Nune =. 
[ENP = stan Nicohercu (192 1432544 La Xu Lett [SSL Medium Strengt Cipher Suites Supported (pest 4987n) [Medium | [92/2011 21043 PP 
[CNP Sebastian Nicolescu : Lan Xu | ett besch e HTTP Sever Byte Range DoS (post: A Steen High ~ [9/12/2011 21043 PP 


ICNP Sebastian Nicolaescu EE Xu JApache HTTP Server Byte Range DoS (port: 443/109} | High 8/28/2011 7 44-10 AT 


(et IP Sebastian Nicolescu rache HT TP Server r Byte : Range D "3 (post. SI R002 p) High 
CNP z Nicolescu Obsolete Vi High 
[CNP cbasisan Nicolaescu Xu d bscie Server e Detection {port 3030/ e? High 
[CNP Bebaskan Nicolescu Le Xu [emtd06 [Apache HTTP Server Byte Range DoS (port: Since | High [EA8201 5-10.09 AT 


ic CNP Schashan Nicoles e 3 30115 510 07 Al 


i 166 Le 25s fetat | Apache HTTP Server Byte Rangt DoS (pork Sültäeg) ` — | High 
Vulnerability Violations Listed 8 - 


Figura 3.2 — Exemplu Ecran raport scanare Nessus 


Metasploit Framework (MSF) este o platforma avansata de tip sursá deschisá pentru 
dezvoltarea, testarea si utilizarea de programe de tip "exploatare". Initial proiectul a 
pornit ca un joc de retea, dar s-a dezvoltat pe parcurs devenind un instrument puternic 
folosit in testele de penetrare, dezvoltarea de programe de "exploatare" si cáutarea de 
vulnerabilitáti. Mediul si scripturile de exploatare sunt scrise in Ruby si pot rula pe 
aproape orice sistem de tip Unix si Windows. Sistemul însuşi poate fi accesat si 
controlat prin intermediul unui interpretor de comenzi sau a unei interfete web [Met--]. 


Dintre pachetele comerciale, cel mai reprezentativ este eEye Retina [Eey--]. Acesta 
scaneazá vulnerabilitátile unei retele dispunánd de un sistem de management al 
remediilor prin care descopera si asistá la repararea tuturor vulnerabilitátilor de 
securitate cunoscute într-un sistem. Retina este uşor de configurat si include 
instrumente avansate de raportare pentru a ajuta la izolarea şi sistematizarea 
remediilor necesare. In afară de faptul că dispune de cea mai completă bază de date 
de vulnerabilitáti cunoscute, Retina dispune şi de o tehnologie proprietară numită 
CHAM (Common Hacking Attack Methods) care emulează un comportament de tip 
hacker pentru penetrarea în adâncime a rețelei. In acest fel, Retina poate practic 
detecta vulnerabilitáti ascunse sau necunoscute anterior, oferind cunoştinţele pentru o 
securizare mai bună a reţelei. 


3.3 Tehnologii pentru detecția intruziunilor 


Domeniul detectiei intruziunilor a luat naştere odată cu documentul tehnic publicat de J. 
Anderson în 1980. Acesta propunea primul concept de detecție a anomaliilor în care 
informaţia de auditare putea fi folosită pentru identificarea abuzurilor ce aveau loc în 
sisteme [And80]. 


Principiul de operare al unui sistem de detecție a intruziunilor are la bază idea conform 
căreia activitățile în spațiul virtual (inclusiv cele asociate intruziunilor) nu se desfăşoară 
în vacuum, generând indicii şi urme. În multe cazuri, atacatorii „personalizează” 
sistemele compromise utilizând un set propriu de aplicații pentru a-şi consolida accesul 
(instalarea software captură activitate tastatură, spaming, activitate botnet, etc). În mod 


teoretic, un sistem de calcul are posibilitatea de a detecta astfel de modificări, iar 
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sistemele IDS incearca sa implementeze aceste capabilitáti si sa notifice asupra celor 
identificate. 


Arhitectura de principiu a unui sistem pentru detectia intruziunilor (IDS) este prezentatà 
in figura urmátoare. 
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Figura 3.3 - Arhitectura generică a unui sistem IDS 


Ín literatura de specialitate sunt disponibile mai multe clasificári ale sistemelor IDS, cele 
mai importante fiind dupa provenienta datelor si dupa tehnica de detectie folosita. 


Ín functie de provenienta datelor utilizate in procesul de detectie (ceea ce dicteazá in 
mod implicit si amplasarea acestora), solutiile IDS se clasificá in HIDS (IDS bazate pe 
informatii provenind de la statii) si NIDS (IDS bazate de datele de trafic din retea). 


Un sistem HIDS monitorizeazá starea statiei precum si aspecte ale comportamentului 
sáu dinamic cu scopul de a determina incercari de violare a politicii de securitate a 
sistemului respectiv. HIDS utilizeazá in general o bazá de date securizatá cu obiecte 
sistem si atributele de referintá asociate acestora (permisiune, dimensiune, date 
modificare, etc.). In procesul de monitorizare se compara atributele curente ale 
obiectelor cu cele de referintá, din baza de date. 


Un sistem NDIS monitorizeaza pachetele de date din retea (Snort, Bro), sau statisticile 
de trafic furnizate de echipamentele din retea sau alte aplicatii (Novell Analyzer, 
Microsoft Network Monitor) pentru a determina indicatori asupra activitatilor suspecte 
cum ar fi: scanari, propagari de viermi, atacuri DoS, etc.. 


in multe implementari de sisteme IDS comerciale, se combina aspecte specifice HIDS 
si cele NIDS, aceste implementari fiind numite si NNIDS (IDS de nod de retea). NNIDS 
opereaza ca un NIDS hibrid la nivel de statie ce proceseaza traficul destinat catre 
masina respectiva. Aceste solutii hibride adreseaza limitárile de vizibilitate ale NIDS 
clasic in ceea ce priveste traficul de retea criptat, oferind totodata o monitorizare 
eficientá la nivelul serviciilor (Web, SMTP, SSH, etc.) pentru identificarea incercarilor 
de violare a specificaţiilor protocoalelor de nivel aplicaţie [PPNO7-01] . 


În funcţie tehnica de detectie folosită, sistemele IDS au fost in mod traditional grupate 
in doua clase mari: sisteme bazate pe anomalii si cele bazate pe semnaturi. In timp, o 
serie de noi tehnici au fost recunoscute ín literatura de specialitate si anume: 
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monitorizarea integrităţii, monitorizarea fişierelor de jurnalizare, tehnici capcană 
(honeypot), şi tehnicile hibride. [Ame10] [Pfl11] 


În continuare se vor descrie tehnologii reprezentative de detecție a intruziunilor pe baza 
tehnicilor folosite. 


3.3.1 Analiza fişierelor de jurnalizare 


Analiza fişierelor de jurnalizare, denumită adesea in literatura comercială de 
specialitate LIDS (detecție de intruziuni bazată pe fişiere de jurnalizare) poate fi utilizată 
pentru a detecta utilizări necorespunzătoare ale sistemelor, sau violări ale politicii de 
securitate. 


3.3.1.1 Soluţii de analiză offline 


Anumite soluţii realizează analiza fişierelor de jurnalizare (log) pe o durata de timp şi 
generează rapoarte care pot fi evaluate ulterior de personalul de administrare sau de 
securitate. Acest gen de soluţii rulează în mod uzual zilnic şi sunt benefice în 
identificarea evenimentelor pentru o analiză mai aprofundată de timp real. Rapoartele 
oferă de asemenea informaţii statistice care ajută în evaluarea tendinţelor (detectarea 
de anomali). Totuşi aceste soluţii au limitări în ceea ce priveşte adresarea situaţiilor ce 
necesită un răspuns imediat. De exemplu, dacă un server web este inaccesibil, este 
necesar un răspuns imediat, iar identificarea acestei probleme pe baza acestui tip de 
soluție este inadecvată. 


Logwatch este o soluţie ajustabilă care analizează fişierele specificate de utilizator pe 
baza unor criterii alese de acesta şi generează rapoarte. Aplicația constă într-un set de 
scripturi Perl şi filtre care sunt simplu de configurat. Aceste criterii sunt furnizate ca 
opțiuni in linia de comandă. Soluţia poate fi utilizată pentru analiza fişierelor de 
jurnalizare a programelor uzuale (cum ar fi Apache, sendmail, etc.), dar poate fi uşor 
configurată pentru a interpreta şi jurnalele altor categorii de aplicaţii [Log--]. 


SLAPS-2 (System Log Analysis & Profiling System 2) este o colecţie de programe Perl 
utilizate pentru filtrarea fişierelor de jurnalizare sistem ce se colectează pe un server 
central. Aplicația produce o serie de rapoarte de analiză a operării sistemului care pot fi 
trimise prin email către o listă de utilizatori specificaţi. Această soluţie adresează şi 
aspecte legate de rotația fişierelor de jurnalizare utilizate în decursul analizei [Sla--]. 


3.3.1.2 Soluţii de analiză online 


Analiza de timp real constă în acele soluţii care rulează permanent şi monitorizează 
unul sau mai multe fişiere de jurnalizare. Aceste soluţii au avantajul generării în timp 
real de alerte când sunt detectate anumite evenimente, însă cele mai multe dintre 
soluţii sunt limitate în ceea ce priveşte adresarea situaţiilor atipice. 


SWatch (Simple Watchdog) a fost una din primele soluţii create pentru monitorizarea 
fişierelor de jurnalizare. Aceasta filtrează datele care nu satisfac soluţia de filtru, şi 
efectuează asupra datelor rămase un set de acţiuni specificate de utilizator. Când se 
identifică o linie în fişierul de jurnal care satisface condiţia specificată de utilizator o 
poate salva, sau notifica administratorii. Soluţia oferă suport pentru executarea unui set 
de acţiuni, cât şi pentru ignorarea evenimentelor duplicate. Deoarece examinează 
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secvential evenimentele, funcţia de corelaţie temporară lipseşte în acest caz [Swa--]. 


Logsurfer este o soluţie mai eficientă care permite schimbarea dinamică a regulilor în 
timp sau în funcţie de contextul evenimentelor identificate. Soluţia permite o multitudine 
de opțiuni ce asigură un grad ridicat de flexibilitate, cum ar fi: specificarea de excepții, 
setare de timeout pentru reguli, specificarea de secvențe de identificare care pot fi 
ignorate, trimiterea rezultatelor prin email către anumite maşini, etc. Logsurfer+ este o 
extensie care permite generarea de alerte când se detectează lipsa de mesaje şi 
permite de asemenea specificarea unui număr minim de evenimente care trebuie 
identificate pentru a genera o alertă. Această ultimă facilitate poate fi folosită pentru 
identificarea stărilor anormale, însă este necesară o evaluare prealabilă din partea 
utilizatorului pentru determinarea acestui prag de anomalie. [Dan--] 


SEC (Simple Event Correlator) este o soluţie bazată pe surse deschise, independentă 
de platformă care poate fi utilizată pentru corelarea de evenimente. Oferă un mod 
flexibil de introducere a datelor (pipeuri numite, intrare standard STDIN, sau nume 
fişiere normale) [Sec--]. Se utilizează o listă de reguli pe baza cărora se caută potriviri 
în liniile de intrare. O regulă SEC are următorul format [Ris05] 
e Conditie de potrivire a evenimentului — sunt exprimate ca expresii regulare si 
rutine Perl 
e O listă de acţiuni - care vor fi efectuate în cazul satisfacerii condiţiei de potrivire. 
Dintre tipurile de acţiuni se amintesc: creare de contexte, invocarea unor 
programe externe, resetarea corelatiilor active. 
e O valoare booleaná - care controlează aplicabilitatea regulii la un moment dat de 
timp. 


La momentul aplicării unei reguli se poate specifica un nume de context, permitándu-se 
astfel corelarea evenimentelor pe bază de context. 


Desi are reguli statice, SEC oferă operaţii de corelare de nivel ridicat cum ar fi: potriviri 
explicite de perechi şi numărarea operaţiilor. Spre exemplu, pe baza regulii 
SingleWithThreshold se poate contoriza numărul de apariţii al unui eveniment A pe 
durata unui interval de timp dat, iar contorul este comparat cu o valoare de prag 
specificată în regulă. In cazul în care contorul depăşeşte valoarea de prag, o acţiune se 
va executa. 


OSSEC este un sistem HIDS complex ce oferă şi servicii de analiză a fişierelor de 
jurnalizare. Această aplicaţie efectuează procesarea fişierelor log în trei etape [Oss--]: 
e Predecodare - extrage câmpuri cunoscute din fişierele log precum timpul 
evenimentului 
e Decodare — folosind decoderi definiti de utilizator pentru a extrage informații 
relevante din fişierele de jurnalizare care vor fi folosite în procesul de analiză 
e Analiză — efectuează operaţii de tip potrivire asupra informaţiilor decodate pe 
baza unei structuri arborescente de reguli atomice sau compozite. Structura 
arborescentă asigură utilizarea în procesul de analiză numai a sub-regulilor 
relevante pentru procesul de detecție respectiv. De exemplu, dacă se analizează 
o intrare legată de un eveniment SSH, nu se va traversa prin sub-arborele de 
reguli pentru evenimente Apache. 


Un exemplu de procesare pe baza OSSEC a unei intrări dintr-un fişier de evenimente 
SSH este ilustrat în continuare. 
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3.3.1.3 Exemplu utilizare OSSEC pentru analiza fisierelor 


1. OSSEC primeste fisier de log SSH cu urmátoarea intrare 


#intrare din fisier log 
Sep 14 17:32:06 mylinux sshd[1025]: Accepted password for root from 


Ehr ME ip ori “ING eeler 


2. Dupá predecodare se obtin urmátoarele informatii 


# Informatia dupá pasul de pre-decodar 

time/date -> Sepl14 17:32:06 

hostname -> mylinux 

program name -> sshd 

log -> Accepted password for root from 192.168.1.101 port 1618 ssh2 


3. Decoderul SSH implicit OSSEC este definit dupa cum urmeaza 


Exemplu decoder SSH 


«decoder name="sshd"> 
«program name»^sshd«/program name» 
«/decoder» 


«decoder name="sshd-success"> 
<parent>sshd</parent> 
<prematch>*Accepted</prematch> 
<regex offset="after_prematch">* \S+ for (\S+) from (\S+) port 
</regex> 
<order>user, srcip</order> 
</decoder> 


4. Dupa decodare informatia arata dupa cum urmeaza 


+ Informația după pasul de decodare 
time/date -> Sepl14 17:32:06 
hostname -> mylinux 

program name -> sshd 


log -> Accepted password for root from 192.168.1.101 port 1618 ssh2 
srcip -> 192.168.1.101 
user -> root 


5. Se defineste regula de analizá 133 prin care se doreste generarea unei alerte in caz 
de conectare din exteriorul retelei 192.168.254.0/24 la statia cu numele ny1inux. 
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# Exemplu regula analiza 
+ atributul level reprezintă gradul de severitate 


«rule id = "111" level = "5"> 

<decoded_as>sshd</decoded_as> 

<description>Logging every decoded sshd message</description> 
</rule> 


<rule id="122" level="7"> 
Ee 
«match»^Failed password</match> 
«description»Failed password attempt</description> 
«/rule» 


«rule id="133" level="18"> 
ee E ere 
<hostname>"mylinux</hostname> 
<srcip>!192.168.254.0/24</srcip> 
<description>Problema! Cineva din exterior s-a conectat ca la 
serverul mylinux </description> 

</rule> 


6. Prin aplicarea regulii 133 asupra informatiilor decodate, se va genera o alerta 
intrucát conexiunea SSH la statia ny1inux s-a efectuat de la o adresa (192.168.1.101) 
externa. 


OSSEC oferă o funcţionalitate de bază acceptabila datorită numărului mare de 
decodere si reguli pentru serviciile de bazá. De asemenea, ofera posibilitáti de extensie 
pentru analiza fişierelor de jurnalizare a aplicaţiilor proprietare prin definirea de noi 
decodere si reguli. Totusi, prezinta limitári in ceea ce priveste capacitatea de detectie a 
evenimentelor de tip necunoscut. 


3.3.2 Monitorizarea integrităţii fişierelor 


Această categorie de monitorizare este capabilă să identifice şi raporteze modificări 
neautorizate asupra fişierelor. Se utilizează pentru protecţia fişierelor critice (fişiere 
binare aplicaţie, sau fişiere de configurare a aplicaţiilor şi serviciilor) şi care se 
consideră a fi statice între activităţile de actualizare a sistemului sau a configuratiilor 
acestuia. Această tehnică stabileşte în prealabil o sumă de verificare a fişierelor care 
se stochează într-o bază de date, după care verifică integritatea fişierelor monitorizate 
prin recalcularea sumei de verificare şi compararea cu cea înregistrată iniţial în baza de 
date. O implementare reprezentativă pentru această clasă o reprezintă aplicaţia 
Tripwire [Kim94], al cărei principiu de funcţionare se regăseşte si în alte implementări 
cum ar fi AFICK [Afi--], OSSEC [Ose--]. 


În primă fază se creează politica de monitorizare a integrităţii prin identificarea fişierelor 
şi directoarelor ce trebuie monitorizate, şi stabilirea regulilor de identificare a 
intruziunilor şi a nivelului de verificare a integrităţii sistemului - atributele de fişier ce vor 
fi monitorizate cum ar fi: dimensiune, id utilizator, id group, timp ultim acces, timp ultimă 
modificare, număr de legături, număr iNode, permisiuni, etc.. Apoi, se initializeazá baza 
de date care păstrează informaţii despre starea de referință a fişierelor ce vor fi 
monitorizate [Kim94]. 
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Pe durata monitorizárii se va compara informatia de referinta (din baza de date) cu 
atributele de stare actuala ale fisierului, iar in caz de discrepantá se genereaza un 
raport sau o alertá. 


Pentru o securitate sporită a mecanismului de monitorizare a integrităţii, Tripwire 
criptează şi semnează propriile fişiere utilizând două chei criptografice pentru a detecta 
dacă a fost compromis [Tri--]: 

e Cheia de site - protejează fişierul de politică şi cel de configurare 

e Cheia locală - protejează baza de date şi rapoartele de discrepanta generate. 


Pe lângă utilitatea în descoperirea intruziunilor si a breşelor de securitate, 
monitorizarea integrităţii fişierelor poate servi şi la eficientizarea altor procese din 
organizaţie cum ar fi managementul modificărilor şi asigurarea conformităţii cu politica 
de securitate [Tri10]. 


3.3.3 Monitorizarea integritátii sistemelor (detectia rootkit) 


Monitorizarea integritátii sistemelor are ca obiectiv detectia aplicatiilor malitioase de tip 
rootkit. Aceastá categorie de malware permite acces privilegiat si permanent asupra 
unui sistem, ascunzánd ín acelasi timp prezentá sa prin modificarea unor functii de 
bazá ale sistemului de operare sau a altor aplicatii. In mod uzual, atacatorul va instala 
un rootkit în faza de preluare a controlului asupra sistemului, care îi va permite 
mascarea intruziunii, precum si mentinerea accesului privilegiat la sistem prin ocolirea 
mecanismelor normale de autentificare sau autorizare. Detectia rootkit-urilor este dificil 
de realizat, deoarece acestea sunt capabile sa schimbe functiile sistemului care sunt 
utilizate în procesul de identificare a aplicaţiilor malitioase. [But05] 


Detectoarele de tip Rootkit existente în momentul de fata rulează local pe sistemul 
monitorizat, în mod similar tehnologiilor de tip antivirus. Implementările comerciale 
actuale efectuează detecția pe baza tehnicilor descrise în această secțiune. 


3.3.3.1 Detectoare bazate pe semnătură 


Aceasta este cea mai simplă tehnică utilizată în principal de aplicaţiile de tip antivirus. 
Identificarea rootkitlui se face pe baza semnăturii unice a acestuia cum ar fi o anumită 
secvenţă de octeți în memorie sau existența unor anumite fişiere din sistem. 


Chkrootkit este un exemplu de implementare care identifică modificări efectuate asupra 
fişierelor din sistem precum şi modulelor kernel încărcabile prin identificarea anumitor 
secvenţe de octeți. Se caută de asemenea prezenţa altor indicatori specifici cum ar fi 
modificări asupra unor fişiere de tip log [Chk--]. 


3.3.3.2 Detectoare bazate pe integritate 


Această tehnică este utilizată pentru a crea o sumă de verificare a obiectelor (fişierelor, 
zone de memorie) care se stochează apoi într-o bază de date. Periodic integritatea 
acestor obiecte sistem se verifică prin recalcularea sumei de verificare şi compararea 
cu cea înregistrată initial în baza de date. Avantajul acestei tehnici fata de cea bazată 
pe semnătură constă în posibilitatea de a detecta tipuri necunoscute de rootkit. 
Implementările în care obiectele monitorizare sunt doar fişiere, corespund cazului 
descris în secţiune monitorizării integrităţii fişierelor (3.3.2). 
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SVV (System Virginity Verifier) este un verificator de integritate a memoriei care 
compara componentele Windows utilizate in mod frecvent (de exemplu tabelele de 
functii IRP, IDT, SSDT) cu o stare anterioará de referinta valida. Acesta utilizeaza de 
asemenea componente euristice pentru a contoriza numárul de evenimente fals 
pozitive generate de aplicatii autorizate precum software-ul antivirus ce ruleazá pe 
sistem [Rut05-2]. 


3.3.3.3 Detectoare de tip crossview 


Tehnica a fost propusá initial de Microsoft in proiectul Ghostbuster [Wan05] si permite 
detectia rootkit-urilor ascunse in diferite nivele intre spatiul utilizator si cel kernel prin 
combinarea unor seturi variate de interogári ce conferá perspective multiple asupra 
sistemului. Implementárile existente au la bază două tipuri de scanari [Rut05-1]: 

e Scanare inside the box - permite obținerea unei perspective de nivel utilizator 
prin interogarea APl-urilor de enumerare OS, care se compara cu o alta 
perspectivá generatá prin inspectarea directá a structurilor de date kernel. O 
diferentà intre rezultatele nivelului utilizator si cel kernel indicá prezenta rootkit- 
ului intre aceste 2 spatii. Implementarile Revealer (Microsoft) si Blacklight (F- 
Secure) utilizeaza acest tip de scanare pentru detectia proceselor si fisierelor 
ascunse. 

e Scanare outside the box - compara rezultatul unei perspective de nivel kernel 
obtinutá pe sistemul verificat, cu rezultatul unei perspective similare, obtinute pe 
un sistem neinfectat. O modalitate de a obtine un sistem neinfectat este de a 
reboota sistemului monitorizat si incarca un kernel neinfectat (utilizand un mediu 
extern). O diferenta intre aceste doua perspective indica prezenta rootkit-ului la 
nivel kernel. Eficacitatea acestei tehnici de detectie depinde in mare másurá de 
modul de implementare a solutiei. O implementare pentru sisteme de tip 
Windows ce utilizează acest tip de scanare este Klister [Sec05]. 


3.3.3.4 Detectoare bazate pe comportament 


Interceptarea apelurilor de functii, mesajelor sau evenimentelor transferate intre 
componentele software, poate constitui mijlocul prin care se poate modifica 
comportamentului sistemului de operare sau aplicatiilor. In literatura de specialitate, 
codul care se ocupá cu interceptarea apelurilor de functii, mesajelor sau evenimentelor 
se numeste hook. 


VICE este un detector de rootkit pentru Windows care verificá punctele de interceptare 
ale proceselor din spatiul utilizator cát si din cel kernel. VICE instaleazá un driver care 
scaneazá kernel-ul pentru identificarea elementelor de interceptare. Politica utilizata in 
cáutarea punctelor de interceptare la nivel proces este bazatá pe principiul conform 
cáruia fiecare pointer de functie trebuie sá rezolve cátre o adresá de cod ín spatiul 
procesului sau al kernelui. In cáutarea punctelor de interceptare in spatiul kernel, VICE 
verificá urmátoarele structuri de date kernel [But04]: 

e Tabelele IDT (Interrupt Descriptor Table) si SSDT (System Service Descriptor 
Table) pentru a confirma ca pointerii de functie rezolvá cátre spatiul de cod 
kernel. 

e Tabelele de funcţii IRP (I/O Request Packet) în drivere şi verifică dacă acestea 
pointează către zone de cod din spațiul driverului, iar apoi, 


83 


e Tabele IAT(Import Address Table) şi EAT (Export Address Table) din spaţiul 
procesului pentru a identifica prezenta unui element de interceptare. 


Totusi VICE are o ratá mare de alarme false, deoarece multe aplicatii Windows 
incorporeazá in constructia lor principii de interceptare. 


Patchtfinder utilizează o metodă de creare a profilului căii de execuţie la momentul 
rulării. Idea acestei soluții are la bază observaţia că rootkitul trebuie să adauge cod la o 
anumită cale de execuţie pentru efectuarea unor activități adiționale [Sec04]. Acesta 
utilizează trăsătura procesoarelor X86 de contorizare a numărului de instrucțiuni 
executate. Tehnica are câteva limitări în ceea ce priveşte: 

e Performanţele sistemului - modul de execuţie al procesorului va necesita oprirea 
rulării după fiecare instrucţiune şi apelarea unei rutine de întrerupere de serviciu 
pentru actualizarea contorul de instrucţiune. 

e Acuratetea alertelor - metoda conduce către un comportament nedeterminist 
când este utilizată în sisteme de operare complexe (precum Windows) datorită 
întrepătrunderilor căilor de control, ceea ce conduce către alarme false [Rut04] . 


3.3.4 Detectia intruziunilor cu sisteme capcană (honeypot) 


Honey-pots reprezintă o tehnică flexibilă utilizată în principal de companiile de produse 
antivirus şi agenţii guvernamentale pentru culegerea de informaţii despre noile tipuri de 
ameninţări. În principiu, se monitorizează un spaţiu de adrese neutilizat în activitatea 
normală (numit în literatura de specialitate şi “Black Hole”), iar identificarea de trafic 
destinat către acest spaţiu reprezentând un atac în curs de desfăşurare. 


Spre deosebire de sistemele de detecție clasice, al căror rol este de a identifica 
intruziuni în curs de desfăşurare pentru a le stopa, sistemele capcană au fost create 
pentru a capta atacurile direcționate asupra organizaţiei, protejând sistemele reale şi 
oferind totodată informaţii despre atacatori şi metodele folosite. Performanţa unui 
honeypot depinde de modul de adresare în cadrul implementării a unor probleme pe 
care le poate prezenta un astfel de sistem, cum ar fi [Coh05]: 


Identificarea. Sistemele de tip capcană oferă mai multă sau mai puţină interacţiune si 
pot răspunde mai multor obiective cum ar fi încetinirea propagării atacurilor pe bază de 
viermi, detectarea acceselor neautorizate, colectarea de informaţii despre atacatori. 
Valoarea sistemelor capcană este diminuată dacă identitatea lor reală este divulgată. 
Odată detectat, un atacator poate să evite sistemul capcană, sau să-l alimenteze cu 
informaţii false, derutante. Exceptând cazul când o organizaţie face cunoscut faptul că 
utilizează sisteme capcană pentru a descuraja atacurile asupra sistemelor sale, este 
important ca sistemul capcană să nu fie detectabil. Chiar dacă este identificat, el poate 
avea un rol în infrastructura de securitate, semnalând atacul asupra rețelei interne prin 
acţionarea unei alarme. In cazul în care se doreşte mai mult decât atât, colectarea de 
informaţii despre atacator şi metodele folosite, programul pentru emularea capcanei 
trebuie modificat. Cu cât comportamentul sistemului „capcană” este modificat mai mult 
fata de parametrii impliciti definiti de producător, determinând răspunsuri neaşteptate 
de atacatori, cu atât scad şansele ca identitatea acestuia să fie relevată. 


Exploatarea. Chiar şi în cazul unor sisteme capcană cu interacţiune scăzută, ce nu 
oferă un sistem real ce poate fi compromis, ci emulează doar nişte servicii, există riscul 
ca aceste sisteme să fie compromise. Din acest motiv se impune o securizare maximă 
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sistemului de operare, pe care este instalatá aplicatia capcana, prin aplicarea 
patchurilor si modificarea parametrilor impliciti de acces: servicii, conturi, parole, 
resurse partajate in retea. Ca másurá suplimentará este recomandatá instalarea unui 
firewall local pe masina care ruleaza aplicatia capcana. Sistemele capcaná cu nivel 
ridicat de interactiune, care oferá un mediu real la dispozitia atacatorilor trebuie 
protejate prin sisteme externe de protectie: limitarea benzii de comunicatie, instalarea 
unui sistem de detectare a intruziunilor, monitorizarea atentá a tuturor actiunilor 
intreprinse asupra sistemului capcaná. 


Relevanta. Majoritatea atacurilor, mai ales cele venite din exterior prin Internet sunt 
efectuate prin instrumente automate care incearcá sá exploateze vulnerabilitáti publice. 
Aceste atacuri pot fi relativ usor contracarate prin aplicarea unor másuri elementare de 
securitate cum ar fie modificarea parametrilor impliciti de acces, instalarea unui firewall 
si a unui sistem de detectare a intruziunilor. Amenintarea serioasa o prezintá atacurile 
lansate de persoane cu cunostinte avansate, care au informatii despre vulnerabilitati 
inca nedescoperite de producátorii de software, si pentru care nu existá patchuri 
disponibile. Pentru a surprinde astfel de atacuri este necesará ajustarea particulará a 
sistemului ,capcaná" pentru fiecare tip de atac ce se doreste a fi capturat. De exemplu, 
pentru a depista si demonstra o eventuala fraudá de date (cum ar fi efectuarea unei 
copieri neautorizate de numere de cárti de credit), activitátile detectate de scanare a 
retelei si penetrarea sistemului de acces la serverul capcaná nu identificá implicit si 
tentativa de furt a datelor. Aceastá tentativa de frauda nu va fi captata daca sistemul 
capcaná nu simuleazá valoarea cáutatá de infractor: baza de date centralá a sistemului 
de carti de credit. Rezolvarea acestui impediment, a lipsei de relevanta a informatiilor 
oferite de capcaná, va necesita particularizarea sistemului capcaná astfel incat sa 
poata obtine probe solide (si din punct de vedere juridic) in ceea ce priveste scopul 
atacatorului. 


3.3.5 Detectia pe bază de anomalii 


Detectia anomaliilor nu vizeaza intruziunile cunoscute, ci anormalitati in traficul de retea 
si al comportamentului sistemelor. Constructia unui astfel de detector incepe prin 
crearea unor cunostinte (profiluri de metrici) a ceea ce inseamná trafic normal, si a 
pragurilor de deviatie sau altor reguli pe baza cárora se vor genera alerte. 


. Actualizare profiluri 


[N 


Profiluri sistem 


ee 


Generarea dinamica de profiluri 


Deviatie 
statistica 


Date intrare 


Figura 3.4 - Modelul general al unui detector de anomalii 
Sistemele de detectie bazate pe anomalii se clasifica dupa cum urmeaza: 


A. Sisteme cu auto-instruire - sunt cele care pe baza observarii traficului sau 
activitatii sistemului pe o duratá mai lungá de timp sunt capabile sa construiasca 


SS 2 


profiluri a ceea ce reprezintá "normalitatea". 
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Serii atemporale — reprezintá detectorii care modeleazá comportamentul 
normal al sistemului pe baza utilizárii unui model stocastic care nu ia ín calcul 
evolutia seriilor temporale. 

+ Modelarea regulilor — sistemul studiază traficul si formulează un set de 
reguli care descriu operarea normală a sistemului sau rețelei. In faza de 
detecție, sistemul aplică regulile şi generează alarmă în cazul unei deviații a 
caracteristicilor traficului observat fata de setul de reguli. 

¢ Statistici descriptive — sistemul colectează într-un profil statistici simple, 
descriptive, mono-mod pe baza unor parametrii ai sistemului, şi construieşte 
un vector distanță pentru traficul observat si profil. Dacă distanța este 
suficient de mare, sistemul va genera alarmă. 

Serii temporale — Acest model este mult mai complex, luând în considerare 

evoluţia seriilor temporale. Exemple de astfel de tehnici ar fi: lanţuri Markov 

ascunse, reţele neurale artificiale, etc. 

+ Reţeaua neurală artificială (RNA) — este un exemplu de modelare de tip 
"black-box". Traficul normal al sistemului este pus la dispoziția RNA, care 
“învaţă” caracteristicile traficului normal. leşirea este aplicată traficului curent 
şi este utilizată pentru formarea deciziei legată de detecția intruziunii, sau 
este transmisă unui sistem expert de nivel superior pentru a lua decizia 
finală. 


B. Sisteme programate — sistemele din această clasă necesită o entitate externa 
(utilizator, administrator, etc.) pentru a instrui sistemul să detecteze anumite 
evenimente ce caracterizează anomalii. 


Statistici descriptive — sistemele construiesc un profil de comportament normal 

statistic pentru parametrii sistemului prin colectarea de statistici descriptive 

pentru un număr de parametrii (de exemplu: număr de încercări de login eşuate, 
numărul de conexiuni de rețea, numărul de comenzi ce returnează erori, etc.) 

+ Statistici simple — statisticile colectate sunt utilizate de componente de nivel 
superior pentru a lua decizia de detecție a intruziunii. 

+ Bazate pe reguli simple — utilizatorul furnizează sistemului reguli simple 
pentru a fi aplicate statisticilor colectate. 

+ Bazate pe prag — acesta este cel mai simplu exemplu de detector programat 
ce utilizează statistici descriptive. Odată ce sistemul a colectat suficiente 
date, utilizatorul poate programa praguri predefinite (sub forma unor intervale 
simple) pe baza cărora se vor genera alarme (de exemplu: numărul de 
încercări nereuşite consecutive > 3). 

Interzice implicit — idea de bază pentru această clasă este de a specifica în 

mod explicit circumstanţele în care sistemul observat operează într-o manieră de 

securitate sporită şi să raporteze toate deviatiile de la acest mod de operare ca 
intruziuni. Aceasta reprezintă o corespondenţa clară cu o politică de securitate 
de tip "interzice implicit ceea ce nu e permis în mod explicit”. 

+ Modelarea seriilor de stare — în acest caz, politica pentru operarea într-un 
mod de sporit de securitate este codată ca un set de stări. Tranzitiile între 
stări sunt implicit în model, şi nu explicit ca în cazul codării unei maşini de 
stare în shell-ul unui sistem expert. Ca în orice maşină de stare, odată ce se 
verifică o stare, motorul de detecție a intruziunii aşteaptă realizarea 
următoarei tranzitii. Dacă acţiunea monitorizată (de exemplu: accese la fişier, 
deschiderea unor porturi de comunicaţie ce prezintă interes deosebit) solicită 
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o tranzitie care nu este specificatá in mod explicit, se va genera o alarmá. 
Motoarele de verificare a regulilor sunt simple, insa nu la fel de puternice ca 
in cazul unui sistem expert. 


În continuare se prezintă o serie de sisteme de detecție bazate pe anomalii. 
3.3.5.1 IDES - Sistem expert pentru detectia in timp real a intruziunilor 


IDES este un sistem clasic pentru detectia intruziunilor, fiind si unul din cele mai 
documentate [LJL88, LTG92]. Sistemul a fost dezvoltat de SHI International pentru a 
testa modelul [Den87]: 

e Reprezinta utilizatori, sesiuni de login, si alte entitáti ca o secventa ordonata de 
statistici «goj, .., quj», unde qij (statistica i pentru ziua j) este un număr sau 
interval de timp. 

e Comportamentul recent are preferinţă ridicată fata de cel vechi 
+ Axj este suma valorilor ce determina metrica statisticii k în ziua j 
© Oius Akad — Aki + 2" *qx) , unde t este numărul de intrări de log sau timp 

total, iar r un factor ajustat experimental 


Conceptul de bazá care sta in spatele IDES este cá utilizatorii au un comportament 
relativ stabil in timp atunci cand isi desfasoara activitatile pe un sistem de calcul, iar 
comportamentul lor poate fi reprezentat pe baza unor diferite statistici. Activitatea 
curentă a sistemului este corelată cu profilul calculat, iar deviatiile sunt raportate drept 
intruziuni. 


IDES procesează fiecare nouă înregistrare de audit pe baza profilurilor utilizator şi de 
grup. De asemenea, odată ce sesiune se încheie, aceasta este verificată pe baza 
profilurilor cunoscute. 


Audit Records 


Audit Data 


"i Active 
Data 
Collector 


Active Data 


Profile Data 


Profile 
Updater 


Security 
Administrator 
Interface 


Archive Data 


Figura 3.5 - Arhitectura IDES 
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3.3.5.2 Wisdom & Sense — Detectia activităţilor anormale în sesiuni de lucru pe 
statii 


Sistemul utilizeazá o abordare unica in ceea ce priveste modul de detectie a 
anomaliilor, prin studierea datelor de audit istorice pentru a produce reguli ce descriu 
tipul de comportament "normal" (de aici si denumirea de "wisdom"). Aceste reguli sunt 
apoi introduse intr-un sistem expert care evalueazá datele de audit recente pentru a 
determina violari ale acestor reguli si generează alerte cand regulile indică 
comportament anormal („sense”)  [VL89]. 


3.3.5.3 Computer Watch 


Această aplicaţie a fost dezvoltată de Departamentul de Securitatea Sistemelor din 
cadrul AT&T ca un pachet adiţional pentru System V/MLS (o versiune de UNIX sistem 
V în clasa de securitate B1 după Common Criteria). 


Aplicația operează asupra datelor de audit şi oferă utilizatorului un sumar asupra 
activității sistemului, pe baza căruia acesta poate decide dacă este necesară 
investigarea statisticilor ce par anormale. Aplicația oferă şi mecanismele prin care se 
pot face interogări la date de audit pentru obţinerea de detalii asupra activităților 
suspecte [DR90]. 


3.3.5.4 NADIR — Sistem automat pentru detecția abuzurilor si intruziunilor în rețea 


Dezvoltat la laboratorul naţional de la Los Alamos pentru uz intern (astfel că adresează 
probleme şi cerinţe specifice acelei organizaţii), NADIR a fost implementat pe o stație 
SunSPARC utilizând un sistem de baze de date relational Sybase. 


Sistemul colectează date de audit de la trei tipuri de noduri de serviciu, care sunt apoi 
procesate înainte de a fi introduse în baza de date ca informatie de audit. Fiecare 
înregistrare de audit introdusă în sistem corespunde unui eveniment specific şi conţine 
următoarele informații: data şi timp, identificator de utilizator, eveniment, parametru de 
înregistrare, cod de eroare. 


Sistemul determină săptămânal profiluri individuale ale utilizatorilor ce sintetizează 
comportamentul utilizatorului. Aceste profiluri sunt comparate pe baza unui set de 
reguli de sistem expert determinate pe baza următoarelor surse: 

e Experţi de securitate şi politica de securitate 

e Analiza statistică a înregistrărilor de audit din sistem 


Sistemul produce o serie de rapoarte despre activitatea sa, pe baza cărora se pot 
efectua investigaţii mai amănunțite. [JDS91, HJS+93] 


3.3.5.5 Hyperview — Componenta de rețea neuronală pentru detecția intruziunilor 


Acest sistem are două componente majore: un sistem expert uzual care monitorizează 
informaţia de audit pentru a identifica caracteristici pentru intruziunile cunoscute, şi o 
componentă bazată pe rețele neuronale (ARN) care învaţă adaptiv comportamentul 
utilizatorului si generează alarme cand informaţia de audit deviază de la 
comportamentul deja învăţat. 
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Figura 3.6 - Arhitectura Hyperview 


Decizia de a utiliza ARN pentru a implementa funcţia de detecție a anomaliilor pe bază 
statistică, se bazează pe următoarele ipoteze legate de caracteristicile informaţiei de 
audit: 

e informaţia de audit reprezintă o serie temporală multivariată, in care utilizatorul 
constituie procesul dinamic care emite o serie de evenimente ordonate 
secvențial. 

e înregistrarea de audit care reprezintă un eveniment constă din două tipuri de 
variabile: variabile cu valori dintr-un set finit (de exemplu: nume de stații) si 
variabile de valoare continuă (de exemplu: utilizarea CPU) 


Seriile temporale au fost asociate intrărilor in ARN, iar o parte din ieşirile rețelei au fost 
conectate la intrare (ceea ce creează memoria internă în rețea). Intre evaluări, datele 
din seriile temporale sunt introduse în rețea realizându-se "percepţia trecutului”. 


ARN este conectată la două sisteme expert: unul monitorizează operarea, instruirea 
rețelei (prevenind învăţarea eronată), şi evaluează ieşirea acesteia; iar celălalt 
scanează informaţia de audit pentru a identifica anumiţi indicatori ai atacului. Decizia de 
generare a unei alerte se generează pe baza ieşirii din ambele sisteme expert [DBS92]. 
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3.3.5.6 DPEM - Monitorizarea distribuitá a executiei unui program. 


Metodele de detectie prezentate anterior se bazeazá cunoasterea caracteristicilor din 
atacuri precedente. Autorul acestui sistem propune o abordare diferitá — detectia 
intruziunilor urmăreşte evoluţia corectă a securităţii sistemului, sau mai precis, a 
aplicaţiilor privilegiate ce rulează pe sistemul respectiv. DPEM [Ko96] citeşte 
specificaţiile de securitate pentru un comportament acceptabil al aplicaţiilor privilegiate, 
şi verifică dacă există violări ale specificaţiilor de securitate în informaţia de audit. 


Prototipul DPEM monitorizează execuţia programelor într-un sistem distribuit prin 
colectarea de urme ale execuţiei de pe diverse staţii. Arhitectura sistemului cuprinde 
următoarele componente: centralizator, un manager de specificaţii, dispeceri de urme, 
colectori de urme şi analizatori distribuiti pe staţiile din rețea. 


3.3.6 Detectia bazată pe semnături 


Detectia bazată pe semnături determină intruziunile pe baza cunoştinţelor unui model 
al procesului intruziv şi a urmelor care trebuie lăsate în sistemul observat. Detectorii 
încearcă să determine intruziunile urmărind anumite indicii care au fost determinate în 
prealabil de proiectantii sistemului, fără a avea însă informaţii despre ceea ce ar 
însemna condiţiile normale de trafic. Aceasta impune cerinţe stricte asupra modelului 
naturii intruziunii. 


O varietate de tehnici au fost utilizate pentru modelarea şi recunoaşterea 
caracteristicilor atacului: sisteme expert, analiza semnăturii, rețele Petri, analiza 
tranziţiilor de stare şi algoritmi genetici. Elementul comun al acestor tehnici îl reprezintă 
faptul că se încearcă reprezentarea caracteristicilor esenţiale ale atacurilor cunoscute 
astfel încât variaţii ale atacului pot fi identificate. Orice ce nu este identificat ca atac, 
este considerat a fi normal. 


Modificare reguli 


Date intrare Profiluri sistem |—ygriiicată 


Informaţie de sincronizare Adăugare reguli 


Figura 3.7 - Modelul general al unui detector pe bază de semnături 


Sistemul de detecție este programat cu o regula de decizie explicită, unde 
programatorul a pre-filtrat “zgomotul” din spaţiul de observare. Codul corespunzător 
regulii de detecție contine elemente de identificare clare care trebuie observate în cazul 
intruziunii. 


Sisteme de detecție bazate pe semnături se clasifică după cum urmează: 


A. Sisteme bazate pe modelarea stărilor — intruziunea este codificată ca un număr de 
stări diferite, fiecare din ele trebuind a fi prezente în spaţiul de observare pentru a se 
considera cá intruziunea are loc. Prin natura lor, acestea sunt modele de serii 
temporale pot fi grupate în două clase: 
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e Tranzitii de stare — stările care alcătuiesc intruziunea formează un lant simplu 
care trebuie sá fie traversat de la un capát la celálalt. 

e Rețele Petri — stările formează o structură arborescentă generică, în care 
anumite stări preparatorii pot fi îndeplinite, indiferent de ordine şi de poziția în 
model. 


B. Sistem Expert - este destinat să evalueze starea de securitate a sistemului pe 
baza unui set de reguli ce descrie comportamentul intruziv. Adesea, sunt utilizate 
aplicaţii de tip inlántuire înainte (forward-chaining), considerate a fi o alegere potrivită 
pentru sistemele în care se introduc în mod constant evenimente de audit. Aceste 
sisteme expert oferă flexibilitate, permițând accesul utilizatorului la mecanisme foarte 
puternice cum ar fi unificarea. Aceste facilități vin adesea în detrimentul unei scăderi a 
vitezei de execuţie în comparaţie cu metodele mai simple. 


C. Sisteme bazate pe string matching - este o metodă simplă, de verificare a 
subşirurilor de caractere din fluxul de date transmis între sisteme. Avantajul său constă 
în simplitatea implementării şi se bazează pe algoritmii descrişi în paragraful 4.6. 


D. Sisteme bazate pe reguli simple — sunt similare sistemelor expert puternice, dar 
nu sunt la fel de avansate. Au însă o execuţie mai rapidă. 


În continuare se prezintă o serie de sisteme de detecție bazate pe semnături. 


| Audit Database 


Audit Record 
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Decision 
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Knowledge Base a 
INTERFACE i Rule-Base 
Decision i 
Engine i | 
| ENGINE i 
Interface f 
Fact-base updater » 
l'act-Base 
Site Security Officer 
A 


Fact-base 


Figura 3.8 - Arhitectura USTAT 
3.3.6.1 USTAT — Analiza tranzitiilor de stare [IKP95] 


Analiza tranzitilor de stare presupune cá sistemul se află initial într-o stare de 
securitate, iar ca urmare a penetrárilor, modelate ca tranzitii de stare, poate ajunge intr- 
o stare finala sinonima cu compromiterea. Sistemul preia de la utilizator specificatiile 
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tranzitilor de stare necesare pentru realizarea intruziunii, dupa care evaluează 
informatia de audit in conformitate cu aceste specificatii. 


Utilizatorul specifică comportamentul intruziv pe care IDS ar trebui să-l detecteze ca o 
secvenţă de tranzitii de stare specifice. Ipotezele de operare a acestui model bazat pe 
analiza tranzitiilor de stare sunt: 

e Intruziunea trebuie să aibă efect vizibil asupra stării sistemului 


e Efectul vizibil trebuie să fie recunoscut fără cunoştinţe din exterior (cum ar fi 
identitatea adevărată a atacatorului) 


Un impediment al modelului este că nu toate intruziunile îndeplinesc aceste condiții (de 
exemplu atacatorii care sunt impostori, ce utilizează un cont şi o parolă valide obţinute 
în mod fraudulos). 


Un exemplu de scenariu de penetrare UNIX BSD 4.2 ce poate fi utilizat de atacator să 
obţină privilegii administrative, şi diagrama de tranzitii de stare corespunzătoare, sunt 
prezentate în tabelul şi figura următoare. 


Pas Comanda Descriere 

1 | % cp /bin/csh Presupune ca nu existá fisierul de mail pentru 
/usr/spool/mail/root root 

2 | % chmod 4755 Creeazá un setuid file 
/usr/spool/mail/root 

3 |% touch x Creează un fişier gol 

4 | %mail root < x Mail fisierul x cátre root 

5 | %/usr/spool/mail/root Executa shell ce permite accesul root 

6 | Root % 


Tabel 3.1 — Scenariu de penetrare 


Attacker mod. setuid( object) 


Attacker creates(object) 
ETE REIS Attacker mod. owneruid(object) 


1, exists(object)- false 


2. attackerfroot 


1. owner(object)-attacker 
2. setuid(object)-enabled 


1. owner(object)-attacker |. owner(object)-attacker 


2. setuid(object)-disabled 2. setuid( object)¢enabled 


Object=/usr/spool/mail/root 
Figura 3.9 - Diagrama de tranzitii de state corespunzatoare scenariului de atac din Tabelul 3.1. 
3.3.6.2 IDIOT - Intrusion Detection In Our Time 


Modelul sistemul se bazeaza pe retele Petri colorate pentru detectia de intruziunilor. 
Autorii propun o abordare structurată în aplicarea tehnicilor bazate pe semnături în 
rezolvarea problemei detectiei intruziunilor [Kum95]. 
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Modelul presupune cá atacul este caracterizat de urmátoarele trásáturi: 
e Existenţă ` atacurile generează urme (fişiere, sau alte entități) 
e Secventá ` atacul cauzează câteva evenimente secvențial 


e Ordine parţială: atacul cauzează două sau mai multe secvențe de evenimente 
care sunt în ordine parţială în coordonate temporale. 


e Durată: are durată limitată în timp 
e Interval: evenimentele sunt distantate în timp 


Modelul defineşte un eveniment ca fiind una sau mai multe acţiuni ce generează o 
singură înregistrare. Secventele de evenimente pot fi intretesute. 


Reţeaua Petri va captura următoarele informații: 
e Fiecare semnătură corespunde unui anumit CPA (Colored Petri Automaton) 
e Nodurile sunt token-uri, arcele sunt tranzitii 
e Starea finala a semnáturii este cea de compromitere 


Adáugarea de noi semnáturi se poate face in mod dinamic, iar ordonarea CPA-urilor 
permite stabilirea ordinii de verificare a semnáturilor de atac. 


s4 


| Fetrue name(this[OB4) | 


stat 


Invariant: same iud 


ic shi /root i 
| chmod 4755 /usr/spool/mail/root Í 
i mail root<x | 
i /usr/spool/mail/root 


chmod exec 


This[PID] !=0&& this[OBJJ=FILE true_name(this[PROG]= 
true_name(this[PROG]= Y 


d true name("/usr/ucb/mail") && 
true name("/usr/ucb/mai/rootl") 
&& 


this[ARGS]=~"\\<rooti\>" 


FILE-this[OBJ] 


Figura 3.10 — Semnătură de intruziune reprezentată printr-o reţea Petri 
3.3.6.3 Snort 


Snort este o aplicaţie pentru analiza de pachete multimod care poate fi folosită ca: 
sistem de colectare şi procesare a pachetelor de trafic, sistem IDS, aplicaţie pentru 
investigaţii post-incident. Este foarte simplu (sursa are aproximativ 800kB), portabil 
(rulează pe majoritatea versiunilor de UNIX, Linux şi Windows), destul de rapid (are o 
probabilitate ridicată de detecție a atacurilor cunoscute în rețele de 1Gbps), configurabil 
(limbaj simplu pentru descrierea de reguli). Snort este totodată standardul de facto 
pentru IDS de rețea din surse deschise, fiind foarte bine documentat. 


Versiunile Snort 2.x oferă o îmbunătăţire a funcţiei de pattern-matching şi detecție prin 
utilizarea unor algoritmi mai performanti cum ar fi: Aho-Corasick sau Horspool. 


Actualmente Snort oferă suport doar pentru protocoalele uzuale de nivel 2-4 din 
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retelele TCP/IP (Ethernet, FDDI, Frame Relay, SLIP, PPP, ISDN, IP, ARP, TCP, UDP, 


ICMP), dar prin adáugarea de noi decodere de tip plug-ins 


Decoder pachete 
Pre-procesor 
(Plug-ins) 
Motor de 
detectie 
Componenta 
livrare 


ojouoed op xn[q 


Figura 3.15 - Arhitectura Snort 


Figura 3.11 - Exemplu de regula formulatá de utilizator 


3.3.6.4 OSSEC 


OSSEC este un sistem de detectie care oferă servicii de tip analiză de fişiere de jurnal, 
verificare integritate, detectie Rootkit, alerte pe bazá de timp si ráspuns activ. 
Arhitectural, soluţia constă dintr-o serie de agenţii care colectează si transmit 
evenimentele cátre un server central. Aplicatia suportá formate multiple de fisiere 
syslog, apache, snort, etc., iar evenimentele sunt procesate pe bazá de reguli 
specificate in format XML. 


OSSEC SERVER 


OSSEC AGENT 


ossec-logcollector 


ossec-syscheckd 


| ossec-syscheckd | ssec-logcollecto 


E , 


ossec-analysisd 


hock, OSsec-agentd 
(UDP/1514) fc) ossec-remoted 
(UDP/1514) 


X (UDP/514) 
SERVER SYSLOG IN RETEA syslogd |. 


Figura 3.12 - Operarea OSSEC în modul server 
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OSSEC are douá moduri de operare: client/server (pentru o analizá centralizatá) si 
local (cánd se monitorizeazá un singur sistem) 


Procesele interne OSSEC sunt: 


Analysisd — este procesul principal, si este responsabil cu analiza datelor 
Remoted — Receptioneazá fisierele de jurnalizare de la agentii ce ruleazá pe alte 
staţii. Rulează implicit pe port UDP 1514, si şi pentru comunicaţia cu agenții 
OSSEC, canalul este criptat (folosind algoritmul blowfish si chei partajate) si 
traficul comprimat (folosind zlib).Pentru compatibilitate extinsa, clientii traditionali 
syslog 

Logcollector — consolideazá fisierele log (syslog, evenimente Windows, fisiere 
text, etc) 

Agentd — expediazá fisierele de jurnalizare cátre server-ul OSSEC. Canalul de 
comunicatie dintre agent si server este criptat (folosind algoritmul blowfish si 
chei partajate), iar traficul este comprimat (folosind zlib). 

Maild — transmite alertele email cátre utilizatori 

Execd — Executá raspunsurile active asociate regulilor de detectie 

Monitord — monitorizeaza starea agentilor, comprimá si semneaza digital 
fisierele de jurnalizare 

Ossec-control — efectueazá managementul proceselor OSSEC cum ar fi 
pornirea si oprirea lor. 


3.3.6.5 RIPPER (Real Time Data Mining-based Intrusion Detection) 


Idea centrală a acestui sistem este utilizarea programelor de audit pentru extragerea de 
informaţii detaliate ce descriu fiecare conexiune de rețea sau fiecare sesiune pe o 
staţie, şi aplicarea programelor de data-mining pentru a învăţa reguli care capturează 
comportamentul intruziv şi activităţile normale, şi care reguli pot fi utilizate pentru 
detecția pe bază de semnături şi cea de anomalii [Lee99]. 


Data-mining se referă în general la procesul de extragere de modele descriptive din 
volume mari de date şi utilizează o varietate de algoritmi din domeniul statisticii, 
pattern-matching, învăţarea maşinilor şi baze de date. 
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Figura 3.13 — Arhitectura RIPPER 
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3.3.7 Sisteme IDS Hibride 


Sisteme din aceasta categorie utilizeaza tehnici combinate (prezentate in sectiunile 
3.3.5 si 3.3.6) in procesul de detectie a intruziunilor. Majoritatea sistemelor comerciale 
actuale utilizeazá tehnici hibride de bazatá pe anomalii si semnáturi. Sistemele 
prezentate in această secţiune, au fost identificate pe baza reprezentativitátii 
conceptelor utilizate in tehnicile de detectie. 


3.3.7.1 Haystack 


Prototipul Haystack [Sma88] a fost conceput pentru detectia intruziunilor într-un sistem 
multi-user al US Air Force (Unisys 1100/60 mainframe ce rula OS/1100). Detectia 
intruziunilor se efectua pe baza detectiei de anomalii si de semnáturi. Detectia de 
anomalii era organizatá in jurul a douá concepte: modele utilizator definite pe baza 
comportamentului trecut al acestora, si modele generice pentru grupe specifice de 
utilizatori ce definesc comportamentul acceptabil pentru utilizatorii grupului respectiv. 


Modelul matematic utilizat de sisteme este urmátorul: 
e «Ao, .., An >, unde A; este statistica i (valoare sau interval de timp) 
e Se definesc T, si Tu astfel încât 90% din valorile A; € [T, , Tu] 
e Sistemul calculează Ap, şi generează anomalie daca nu se verifică ca A; € [TL , 
Ty. 
e Se actualizează limitele TL, Tu. 


3.3.7.2 MIDAS: Sistem expert pentru detectia intruziunilor 


MIDAS [SSHW88] a fost dezvoltat de National Computer Security Centre (NCSC) în 
cooperare cu SRI International in scopul detectiei de intruziuni in mainframe-ul NCSC. 
MIDAS implementează o detectie a intruziunilor de tip euristic. Autorii au modelat 
sistemul plecând de la activităţile desfăşurate de un agent de securitate uman pentru a 
determina intruziunea pe baza analizei fisierelor de log. 


MIDAS utilizează un sistem expert, P-BEST, (Production Based Expert System 
Toolset) pentru detectia intruziunilor. Baza de reguli este organizata pe douá niveluri. 
Primul realizeazá deductia imediatá a anumitor tipuri de evenimente cum ar fi "numárul 
de încercări de login eşuate”, si le asociază o categorie de suspiciune. Nivelul următor 
de reguli realizează procesarea acestor suspiciuni pe baza cărora decide declanşarea 
unei alarme. 


3.3.7.3 NSM Network Security Monitor 


Acesta a fost primul sistem care a utilizat direct traficul de reţea ca sursă de date de 
audit şi este precursorul NSM actuale. NSM ascultă în mod pasiv traficul de retea LAN 
şi deduce pe baza analizei acestuia caracteristicile comportamentul intruziv. [HDL+90, 
MHL94]. 


NSM are o arhitecturá pe mai multe niveluri: 

e Nivelul conexiune — este responsabil pentru studiul datelor din rețea si 
încercarea de a forma perechi de canale de comunicaţie bidirectionala între 
grupe de stații. 

e  Vectorulde conexiune — grupează mai multe conexiuni 
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e Sistem expert simplu — utilizeazá ca intrare vectori conexiune, vectori statie, 
profiluri de trafic normal (volume de date între staţii, protocoale utilizate), 
cunoştinţe de protocol (telnet, sendmail) şi analizează datele pentru a determina 
indicii de comportament intruziv. 


Datele sunt prezentate utilizatorului la consolă sub forma unei liste sortate ce cuprinde 
vectorul de conexiune şi un nivel de suspiciune determinată de sistemul expert. 
Rezultatele sunt arhivate într-o bază de date pentru suportul unor eventuale investigații 
ulterioare. 


3.3.7.4 NIDES - Next Generation Intrusion Detection System 


NIDES [AFV95] este succesorul proiectului IDES si urmáreste aceleasi principii 
generale ca ultima versiune de IDES (are componenta solida de detectie a anomaliilor, 
dublatá de o componentá de sistem expert bazatá pe semnáturi - PBEST). 


NIDES este construit pe o arhitectura client-server, este modularizat, avand interfete 
bine definite intre componente. Sistemul este centralizat, putánd efectua analiza pe o 
anumită staţie numită — NIDES host. Stațiile țintă colectează datele de audit din diverse 
surse cu informatii de log de statie si de retea. 


3.3.7.5 JiNao - Detectia scalabilá a intruziunilor pentru infrastructuri de retea 
critice 


Acest sistem [JCS97] are rolul de protectie a infrastructurii de retea ce utilizeaza OSPF. 
Modelul de amenintare presupune ca anumite entitáti care asigura rutarea pot fi 
compromise, cauzánd stoparea sau deturnarea traficului. 


Detectia intruziunilor este operatá utilizànd trei modele bazate pe: anomalii, semnáturi 
si violári de protocol. 


3.3.7.6 EMERALD - Event Monitoring Enabling Responses to Anomalous Live 
Disturbances 


EMERALD [PV98] a fost conceput ca o arhitecturá scalabila, distribuita de detectie a 
intruziunilor pe statii si in retea. Arhitectura contine si componente care permit 
sistemului sa ráspundá in mod activ in principal la amenintarile ce vin din exteriorul 
organizatiei. 


Arhitectura vizeazá o retea de organizatie larga, compusá din domenii cu relativa 
separatie administrativa, si cu niveluri de incredere diferite inter-domenii. Autorii propun 
un sistem distribuit care opereazá pe trei niveluri distincte: 

e Analiza de servicii — ce acoperă abuzurile componentelor individuale şi serviciile 
rețelei în limitele unui domeniu. Obiectivul acesteia este de a simplifica şi 
descentraliza monitorizarea interfetelor de reţea ale unui domeniu în scopul 
identificării activităţilor care indică abuzuri sau anomalii semnificative în operare. 
Elementele de arhitectură care asigură această funcţionalitate sunt monitoarele 
de serviciu, care realizează o analiză locală de timp real a infrastructurii (rutere, 
gateways) si serviciilor (subsisteme privilegiate cu interfețe de rețea). 
Monitoarele pot interactiona în mod pasiv cu mediul (de exemplu: citirea 
fişierelor de log), sau activ (prin sondare în vederea obţinerii de informații 
adiţionale). Informaţia disponibilă la nivelul unui monitor local poate fi pusă la 
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dispozitia altor monitoare pe baza unui mecanism de comunicatie bazat pe 
subscripti. 

e Analiza la nivel de domeniu — acoperă abuzurile vizibile între servicii multiple si 
componente. Un monitor de nivel domeniu este responsabil pentru 
monitorizarea unei parti sau a întregului domeniu. Acesta corelează informaţiile 
de intruziune oferite de monitoarele de serviciu, oferind astfel o perspectivă mai 
bună asupra activități malitioase la nivelul domeniului. Monitoarele de domeniu 
îndeplinesc si alte funcţii cum ar fi: asigură reconfigurarea parametrilor 
sistemului, realizează interfața cu alte monitoare din afara domeniului şi 
raportează administratorilor amenințările la adresa domeniului. 

e Analiza de nivel organizație — care vizează abuzurile coordonate asupra mai 
multor domenii. Monitoarele de organizaţie corelează rapoartele de activitate 
produse de un grup de domenii monitorizate şi vizează în principal amenințările 
de nivel global cum ar fi: atacuri DDoS şi viermi, atacuri repetate împotriva 
serviciilor de reţea interdomenii, precum şi atacuri coordonate din mai multe 
domenii asupra unui singur domeniu. Prin corelaţii şi publicarea către alte 
monitoare a rezultatelor de analiză, se realizează distribuirea la nivelul 
organizaţiei a informaţiei legate potenţiale ameninţări globale. Capacitatea 
sistemului de a realiza analiza evenimentelor inter-domenii este vitală în 
contextul unor atacuri pe scară globală, cum ar fi cele din clasa războiului 
informaţional. 
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Figura 3.14 — Arhitectura generica a Monitorului EMERALD 
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Figura 3.15 — Structura generica a obiectului resursa EMERALD 


3.3.7.7 Bro 


Bro este un sistem pentru detectia in timp real a intruziunilor in retea prin monitorizarea 
pasiva a legáturii de retea prin care se circulá traficul de atac [Pax88]. Obiectivele 
urmárite de autor in proiectarea acestui sistem au fost: 


Abilitatea sistemului de a realiza o monitorizare de volum mare 

Procesarea rapidá a pachetelor de intrare pe senzor astfel incát sá se evite 
pierderea de date. 

Notificarea în timp real a utilizatorului asupra încercărilor de atac sau a atacurilor 
in curs de desfásurare 

Separarea mecanismului de politicá, fácánd astfel posibilá actualizarea politicilor 
de securitate 

Sistemul va fi extensibil fiind posibilă adăugarea de cunostinte despre tipuri noi 
de atac 

Sistemul va ajuta utilizatorul in a evita efectuarea de erori in procesul de 
specificare a politicii de securitate 


Caracteristicile sistemului ar putea fi sintetizate dupá cum urmeazá: 


Componentele majore sunt: motorul de evenimente (de analizá a protocolului) si 
interpretorul scripturilor de politici. 

Permite cáutári pe bazá de expresii regulate 

Poate analiza trafic in ambele directii 

Poate detecta atacuri ce au loc pe durata mai multor faze 

Are un nivel de alarme false mai redus decát Snort 
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Lucrarea originală ce descrie Bro [Pax88] este prima care adresează si problema 
atacurilor asupra monitorului si a capacitátii acestuia de a rezista acestor atacuri. 


Real-time notification 


Policy script Record to disk 


Policy Script Interpreter 


Event control Event stream 


Event Engine 


I 
I 
| Tcpdump filter Filtered packet stream 


Packet stream 


Network 


Figura 3.16 - Structura Bro 


Pentru a ilustra modul în care Bro rezistă atacurilor, autorul împarte atacurile de rețea 
în trei categorii: 


Atacuri de supra-încărcare (sunt atacuri de tip DoS cu rolul de a provoca 
alterarea procesului de colecţie prin pierderea de pachete de captură) 


Atacuri de blocare (sunt atacuri de tip DoS ce caută stoparea funcţionalitatea 
monitorului sau a procesului de colecţie ce rulează pe acesta) 


Atacuri de diversiune (atacuri ce urmăresc generarea de alarme false pentru a 
masca alte atacuri) 


100 


TOT 


L'€'£€-&'€ € epunijoes ui ejejuezeud SAI ep ZINN oijoejep ap JOJIN1UYO} eoJe2lJIse|2 - EE ISOEL 


Modelare reguli 


W&S 


Serii atemporale CA IDES, NIDES, 
Auto-instruire M EMERALD, 
P JiNao,Haystack 
E Retele Neurale , 
l Serii temporale Artificiale Hyperview 
Anomalie 
Statistici simple r E 
Statistici Bins i y 
Programate descriptive ac E poco NSM 
simple 
Prag ComputerWatch 
Interzice implicit Modelare serii de | GEM. Bro 
stare 
Tranzitie de stare USTAT 
Modelare de stare 
Retele Petri IDIOT 
e NIDES, EMERALD, 
Semnáturá Programate | Sisteme expert MIDAS, DIDS 
String matching NSM 
Bazate pe reguli simple c 
Inspirate pe Ripper 
bazá de Auto-instruire | Selectare automatá a trásáturilor 
semnaturi 


3.4 Tehnici de monitorizare a infrastructurii pentru organizatii mari 


Atacurile DDoS, propagarea epidemicá a viermilor, precum si utilizarea unui botnet de 
a atac o anume tintá pot paraliza chiar si cele mai bine organizate retele. Strategia 
pentru neutralizarea acestor amenintári presupune implementarea unor solutii de 
monitorizare care sá acopere un spatiu de adrese mare, precum si cooperarea intre 
retele. Acest paragraf abordeazá solutii de monitorizare ce se pot implementa in 
organizaţii mari, sau la nivelul furnizorilor de servicii Internet pentru a adresa 
potentialele atacuri la adresa infrastructurii de retea. 


3.4.1. Contracararea atacurilor generate de viermi Internet 


Ráspunsul la un atac lansat de un vierme presupune urmátoarele componente majore: 
detectia (de preferat a fi fácutá cát mai timpuriu posibil), si defensiva (vizeazá limitarea 
propagárii si neutralizarea viermelui). [Moo02] 


Caracteristicile specifice ale propagárii viermelui ce se vor fi monitorizate pentru a 
detecta prezenţa sa sunt [PPNO05-03]: 

e Volum substantial de trafic similar (scanări, încărcătura de infecţie) 

e Volum ridicat de staţii implicate 

e Număr mare de sondári adrese nealocate 


Detectarea atacurilor pe scară largă în Internet (atât cele DDoS si a celor generate de 
viermi) se bazează pe sisteme IDS. Sistemele IDS bazate anomalii ale traficului 
identifica potentiale ameninţări pe baza variațiilor dintre traficul curent şi un model de 
trafic în reţea pentru condiţii normale. Deşi oferă o mai mare adaptabilitate, aceste 
tipuri de IDS au o rată ridicată de alarme false. 


Considerând impactul asupra activităţii generale în Internet pe durata propagării 
epidemice a unui vierme, este necesară implementarea unor sisteme de detecție si 
neutralizarea automată a atacurilor generate de viermi care trebuie sa satisfacă 
următoarele cerinţe: [PPNO5-01] 

e Detectarea propagării viermilor în etape cât mai timpurii ale ciclului de 
manifestare pentru a-i putea anihila înainte de a scăpa de sub control. 

e Generarea semnăturilor viermilor în mod automat pentru a reacţiona şi 
neutraliza rapid propagarea acestora. O semnătură identifică caracteristicile 
comune ale unui vierme, suficiente pentru a-l identifica şi-l anihila. 

e Sistemele de detecție a viermilor trebuie să aibă o rată redusă de alarme false, 
întrucât o alarmă falsă reprezintă de fapt interzicerea unui serviciu legitim. De 
aceea, trebuie realizat un compromis între o detecție rapidă şi o rată redusă de 
alarme false cand se proiectează un sistem automat de detecție şi neutralizare a 
viermilor. 


La nivelul furnizorilor de servicii sau al organizaţiilor cu rețele mari, se poate efectua 
colectarea  sondărilor trimise către adrese nealocate utilizând senzori distribuiti ce 
monitorizează traficul de intrare şi ieşire în diferite zone ale infrastructurii. Senzorii 
pentru traficul de intrare detectează pe cât posibil activitatea viermelui aflat în faza de 
scanare si care încearcă să contacteze adrese dintr-un spaţiu de rețea neutilizat 
(principiul este similar celui de "Network telescop” prezentat de Moore[Moo02]). Acest 
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tip de senzori pot oferi informatii despre activitatea viermelui la nivel global. 


Senzorii pentru traficul de iesire sunt plasati pe interfetele de iesire ale ruterului care 
conecteazá reteaua locala la Internet. Scopul unui astfel de monitor este de a identifica 
caracteristicile de scanare ale unui potential vierme din traficul de iesire. In cazul in 
care o statie din reteaua locala este infectata, senzorii de iesire pentru aceasta retea 
pot observa majoritatea traficului de scanare trimis cátre exterior de statia compromisá. 
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Figura 3.17 - Un sistem generic de monitorizare a atacurilor lansate de viermi 


Pentru o avertizare timpurie asupra unui potential atac lansat de vierme, datele 
observate de senzorii distribuite trebuie colectate si transmise in timp real cátre un 
centru de avertizare (CA). 


Un alt motiv pentru implementarea unui sistem distribuit de monitorizare, îl reprezintă 
faptul că acelaşi vierme poate arăta un comportament diferit, în funcţie de 
particularitátile staţiei victimă. De exemplu, rata de scanare a lui Slammer este limitată 
de lărgimea de bandă pe care calculatorul infectat o are la dispoziţie (utilizând 
protocolul UDP pentru propagare), pe când rata de scanare Conficker şi a altor viermi 
cu scanare uniformă este limitată de lărgimea de bandă a canalului de transmisie. 


Informaţiile colectate de senzori pe durata unui interval de timp de monitorizare, şi 
trimise către CA, sunt: 
e Rata medie de scanare şi distribuţia scanărilor (oferite de senzorii de ieşire) 


e Numărul de scanări recepționate, precum şi adresele IP ale staţiilor care au 
trimit pachete de scanare (oferite de senzorii de ieşire) 


CA colectează şi consolidează în timp real rapoartele de scanare generate de senzori 
pe parcursul fiecărui interval fiecare monitorizare. Pentru fiecare port TCP sau UDP, 
CA are un prag de alarmă de monitorizare a traficului nelegitim. Pentru procesarea 
acestor date se pot utiliza tehnici multiple. 


Considerând propagarea exponențială care are loc în faza iniţială, [Zou03] propune o 
strategia de detecție de identificare a unui trend în traficul de date prin activarea unui 
filtru Kalman care va estima rata de infecţie pe baza informaţiilor oferite de monitoare. 
Estimarea recursivă va continua până când valoarea estimată pentru parametrul ratei 
de infecţie se stabilizează. Dacă rate de infecţie estimată se stabilizează sau oscilează 
uşor în jurul unei valori constante pozitive, atunci s-a detectat prezenţa unui vierme. 
Dacă oscilează în jurul valorii zero, atunci traficul nelegitim identificat de senzori este 
interpretat ca zgomot . 
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3.4.2 Monitorizarea fluxurilor de comunicatie pereche pentru detectia 
BotNet 


Odatá ce intruziunea a intrat in faza de consolidare, sansele de detectie pe baza NIDS 
sunt foarte limitate. Un astfel de caz îl reprezintă detectia staţiilor care sunt înrolate într- 
un botnet. Elementul caracteristic ce poate fi utilizat în detecția traficului botnet, îl 
reprezintă profilul de comunicaţie specific acestei structuri. Punctul de plecare îl 
constituie înțelegerea profilului de comunicaţie specific elementelor unui botnet [Bai09]. 
Pe baza acestui profil se construieşte un model de monitorizare a fluxurilor de 
comunicație în ambele sensuri între rețeaua proprie şi Internet pentru a determina 
indicii dialogului tipic botnet. În plus se pot corela alarmele IDS asociate traficului de 
intrare cu elemente specifice de comunicaţie în traficul de ieşire. 


Una din cele mai eficiente implementări din această clasă de tehnologii este Bothunter 
[Gu07]. Aceasta modelează o secvenţă de infecţie (1) pe baza unui tuplu de participanţi 
şi a unei secvenţe de dialog slab ordonate. 1 = «A,V,L,C,P,V',(D)», unde 


A- Atacator, v- Victimă, L- Locaţie încărcare soft, c- Server Comandá&Control, P- 
Punct coordonare P2P, v'- ţintele de propagare ale victimei, (D) - Setul de secvenţe 
de dialog pe fluxuri biderectionale 
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Figura 3.18 - Bothunter: Modelul ciclului de viata al infecțiilor (MCVI) [Bot11] 


Componentele arhitecturii BotHunter sunt [Bot 1]: 

e SLADE (Statistical payLoad Anomaly Detection Engine) - implementeazá un 
modul simplu de analiza a incarcaturii in fluxurile de trafic de intrare, urmárind 
divergente in distributia octetilor pentru protocoalele care sunt tipice intruziunilor 
pe bazá de malware. 

e SCADE (Statistical sCan Anomaly Detection Engine) - efectueazá cateva 
scanári suplimentare de porturi tipice claselor malware atat pentru fluxurile de 
intrare cát si cele de iesire. 
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Corelatorul BotHunter — pe baza une diagrame interne de stári care defineste 

MCVI, efectueaza o corelatie a elementelor de dialog din traficul de intrare si a 

alarmelor de intruziune cu elemente dialogului din traficul de ieşire. 

Considerentele avute in procesul de corelatie sunt [Gu07]: 

+ Identificarea secventelor de comunicaţie care sunt conforme cu MCVI 

e Elementele de trafic identificate a genera tranzitii de stare nu trebuie să fie in 
ordine stricá (tinand cont de intarzieri in retea care pot afecta in mod diferit 
secventele de pachete), trebuie să fie într-o anumită vecinătate temporală 

+ Alerte de bot nu se generează doar pe baza elementelor de trafic externe, 
fiind nevoie de prezenţa elementelor de trafic interne. 

e Fiecare flux va avea un scor de încredere al infecţiei calculat pe baza 
elementelor de dialog asociate fiecărei stări. 

Setul de semnături - conţine semnături de exploatări cunoscute de viermi, 

malware, scripturi, schimburi de mesaje C&C, scanări externe. Semnăturile 

provin din surse multiple cum ar fi: Bleeding Edge, comunitatea Snort, reguli 

specifice de bot Cyber-TA 
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Figura 3.19 - Arhitectura Botnet [Gu07] 


3.4.3 Urmárirea atacurilor DDoS 


O strategie eficientá de combatere a atacurilor DDoS combina tehnici pentru adresarea 
urmátoarelor aspecte: prevenirea, detectia, urmárirea pachetelor fluxurilor sau traficului 
agregat creat de DDoS si suprimarea atacurilor. 


Másurile de detectie si urmárire a atacurilor DDoS pot fi impartite in urmátoarele clase 
[PNBO9]: 


Marcarea pachetelor - constă in suprascrierea unuia sau mai multor câmpuri ale 
antetului pachetului IP, pentru a păstra informaţii despre calea urmată de fiecare 
pachet de la sursă către destinaţie. Destinația va utiliza acest tip de informatie 
pentru a reconstrui calea şi identifica atacatorul. Metodele bazate pe rescrierea 
pachetelor sunt relativ ineficiente împotriva atacurilor ce utilizează reflectori, 
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deoarece informatia de marcare este pierduta la nivelul reflectorilor. Aceasta 
clasa necesita functii de calculare a cáii ultrarapide in rutere, deoarece fiecare 
pachet trebuie marcat. Nu este demonstrat dacá functiile propuse sunt suficient 
de rapide pentru ruterele de backbone. 

e Controlul căii - Spre deosebire de metodele cu marcare de pachete, aceste 
abordări bazate pe controlul căii presupun transmiterea de informaţii despre 
atacuri DoS în pachete adiționale. Aceste pachete ar trebui trimise la o rată mult 
mai scăzută decât pachetele de trafic manipulate de rutere. Spre deosebire de 
metoda anterioară, nu necesită schimbări în semantica câmpurilor existente în 
antetul pachetului. Aceasta este important deoarece rescrierea poate schimba 
semantica pachetelor. Prin creşterea numărului de căi între atacatori şi victimă, 
a ratei de trimitere a pachetelor, conţinutul pachetelor, numărul de victime 
atacate simultan şi cantitatea de trafic legitimă generată de atacatori, 
probabilitatea ca victima să descopere locaţia reală a atacatorului scade prin 
reducerea diferenţelor între traficul legitim şi cel de atac. Propunerile existente 
din această categorie se împart în două grupe: abordări bazate pe ICMP 
Traceback şi abordări bazate pe rutare (BlackholeRouting, CenterTrack) 

e Jurnalizarea pachetelor - Metodele bazate pe marcarea pachetelor şi controlul 
căii pot fi păcălite de atacator, deoarece nivelul atacului trebuie să atingă o 
anumită limită pentru a putea determina calea dintre atacator şi victimă. 
Abordările bazate pe înregistrarea de pachete consideră un potenţial pericol în 
fiecare pachet, şi de aceea trebuie înregistrat. Totuşi, colectarea şi procesarea 
tuturor pachetelor constituie o operaţie foarte complexă. De aceea, o serie de 
abordări vizează modul de sumarizare a traficului de pachete (DW ARD, Multops, 
NetFlow, SPIE). 


3.5. Monitorizarea spațiului de amenințări global pe baza resurselor 
publice 


Una din componentele principale ale strategiei de securizare a Internetului o reprezintă 
monitorizarea amenințărilor de nivel global. Tehnicile reprezentative utilizate pentru 
monitorizarea spaţiului de ameninţări precum, precum şi o serie de exemple ilustrative 
a modului în care se poate efectua analiza pe baza acestor date publice sunt 
prezentate în cele ce urmează. 


3.5.1 "Network Telescope" 


Network Telescope (numit adesea si ,darknet" sau ,blackhole") este o solutie de 
monitorizare a accesului la un spatiu larg de adrese IP rutabile care in conditii normale 
au un volum de trafic legitim foarte mic, inexistent, sau care poate fi usor filtrat. Orice 
trafic atipic destinat spatiului de adrese monitorizat, poate fi interpretat ca un potential 
atac. Aceasta solutie este viabila pentru observarea evenimentelor majore, la nivel 
global, in care atacul incorporeaza un grad ridicat de aleatorism in selectarea tintelor 
[Moo02-2]. Dacá conceptul initial de telescop avea ca obiectiv doar capturarea traficului 
destinat spatiului de adrese neutilizat, implementari ulterioare (Internet Motion Sensors) 
incorporeazá un mecanism de ráspuns limitat la traficul primit. 
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Figura 3.20 — "Network Telescope" utilizat de CAIDA 


Pe baza acestui sistem s-au putut obtine statistici despre atacuri de tip DDoS in 
desfasurare (cand telescopul receptioneaza de la victima/victime un volum mare de 
pachete SYN-ACK), precum si despre atacurile generate de propagarea viermilor (cánd 
telescopul receptioneazá un volum mare de cereri TCP SYN sau pachete UDP, si care 
are un trend exponential pe durata inițială de propagare a viermelui). 


Utilitatea unei astfel de solutii consta in posibilitatea identificárii unor atacuri majore in 
Internet la inca din fazele initiale, de a estima potentialul impact, si analiza evolutia 
ulterioará si precum si a mecanismelor aplicate pentru izolarea si anihilarea atacului. 


in procesul de utilizare si interpretare a informatiilor oferite de o solutie telescop, trebuie 
să se aibă in vedere ipotezele şi limitările acestuia [Smi09]: 


Un telescop utilizând un spaţiu de adrese distribuit va oferi o acuratețe mai 
ridicată în extrapolarea observaţiilor locale la nivelul întregii infrastructuri 
Internet. Această soluție determina şi o implementare mai complexă, care 
trebuie să rezolve toate aspectele legate de sincronizare, de distribuţia datelor, 
şi de interpretarea statistică a datelor deoarece, la un moment dat, nu toate 
rețele monitorizate au acelaşi grad de accesibilitate. Din păcate, soluțiile 
disponibile în acest moment (CAIDA, WAIL) utilizează preponderent spaţii de 
adresă continue.  Extrapolarea observaţiilor fiind aplicabilă doar în cazul 
atacurilor cu scanare uniformă a Internetlui 

Datorită congestiei, adesea telescopul va raporta cu întârziere scanările, iar 
aceasta va afecta şi rata de scanare estimată 

Prezenta tehnologiei NAT (Network Address Translation) va avea ca urmare 
raportarea unui număr scăzut de adrese IP distincte. O soluţie în acest sens ar fi 
utilizarea câmpului IP ID pentru anumite sisteme de operare. 

Scanările neuniforme (utilizând anumite preferințe cum ar fi cea de reţea locală — 
utilizată în cazul viermelui Stuxnet) limitează vizibilitatea telescopului. 

Limita de viaţă a staţiilor infectate. Modul de construcţie a viermelui, precum 
impactul acțiunii viermelui sau al atacului DDoS asupra staţiei poate afecta 
modul de scanare. De exemplu, Code Red opreşte scanarea după o anumită 
perioadă, Witty afectează modul de operare a maşinii infectate care în timp 
devine indisponibilă, Stuxnet (utilizează o scanare directionatá, şi se autosterge 
pentru a nu genera un volum de scanare ce poate atrage atenţia) 

Erorile echipamentelor de măsură. Şi în cazul CAIDA, s-au putut observa 
intervale de timp în care colecţia de date este afectată de întârzieri, congestie 


107 


3.5.2 Dshield/Internet Storm Center 


Aceastá abordare are la bazá colectarea de fisiere de detectie a intruziunilor oferite de 
diferite organizatii, care in momentul de fata acopera peste 500.000 adrese IP din 
peste 50 de tari. Aceasta abordare asigurá o mai buna distributie asupra spatiului de 
monitorizare, insa diversitatea configuratiilor IDS utilizate de multiple organizatii, poate 
genera probleme de interpretare atunci in cazul unor evenimente pentru care nu exista 
reguli Snort in pachetul de bază [ISC--]. 


3.5.3 ATLAS (Active Threat Level Analysis System) 


ATLAS este una din primele iniţiativele care a avut ca obiectiv construirea unei rețele 
de analiză a amenințărilor la nivel global. 


Figura 3.21 - Consola de monitorizare globala ATLAS — Distribuţia geografica a atacurilor 
23/09/2011 [Arb11-01] 


Datele sunt capturate prin utilizarea de senzori distribuiţi global care rulează o serie de 
aplicaţii de captură şi analiză de date. Senzorii au capacitatea de a: 

e Interactiona cu atacatorii pentru a determina ,intentiile" acestora 

e Captură de trafic complet şi analiza acestuia 

e Caracterizarea traficului de scanare 


Datele sunt apoi trimise la o locaţie centrală pentru analiză detailată şi prezentare la 
consolă. 


Alte surse de date utilizate de ATLAS sunt: 

e Trafic capturat de honeypots 

* Fisiere log IDS 

e Fisiere de scanare 

e Statistici DoS la nivel Internet 

e Ştiri şi rapoarte de vulnerabilitate 

e Esantioane de malware capturat 
+ Date despre infrastructura de phishing 
+ Date comanda şi control botnets 
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Figura 3.22 - Consola de monitorizare globala ATLAS - Distribuţia dupa servicii a atacurilor 
23/09/2011 [Arb11-02] 


Acoperirea globalá este in mare parte rezultatul FSA (Fingerprint Sharing Alliance), o 
aliantá creatá in 2005 si care reuneste furnizori de serviciu majori in Internet, care 
opereazá pe toate continentele. Programul FSA oferá participantilor un mecanism prin 
care pot partaja usor si rapid informatii despre atacuri intre organizatii, si care 
adreseazá [FSA11]: 

e Cerinţele specifice de ordin legislativ 

e Disponibilitatea datelor în timp real 

e Vocabular comun de descriere a anomaliilor 

e  Modului de adresare a anomaliilor având în vedere complexitatea relaţiilor între 

entităţile implicate 


Un avantaj al acestei abordări de „amprentare” a anomaliilor este faptul că nu necesită 
investiții majore de infrastructură, putând fi văzută mai degrabă ca un limbaj standard 
care facilitează comunicarea de informaţii despre atac. 


Informaţia de caracterizare a anomaliei de rețea observată de membru include 
contextul atacului şi informaţiile de contact pentru centru de operare de rețea al părților 
implicate. Contextul atacului este un set de statistici care identifică în mod unic 
anomaliile de trafic observate. In plus, acesta oferă datele necesare interpretării 
evenimentului şi înțelegerii amenințării la adresa utilizatorilor. Poate include informaţii 
precum: 
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e Scopul: set de prefixe de rețele atacate, informaţii de corelaţie spaţială sau 
temporală asupra atacurilor 

e Severitatea : rata de trafic de atac din volumul total de trafic 

e Impactul: efectul atacului asupra echipamentelor de rețea, serviciilor si 
utilizatorilor 

e Informații de contact persoane care au autoritatea si responsabilitatea pentru 
adresarea acestui gen de evenimente 


SERVICE PROVIDER C 


SERVICE PROVIDER B. E 


JRBOR : 
Arbor Peakflow SF 


EBOR 3 
Arbor Peakflow SP 


ENTERPRISE 


Figura 3.23 - Arhitectura de monitorizare globala Arbor/ATLAS [FSA11] 


3.5.4 Studii de caz 
3.5.4.1 Monitorizarea amenintarilor pe baza datelor CAIDA 


Un eveniment major identificat de CAIDA (utilizánd o solutie de monitorizare de tip 
Network Telescope) a fost propagarea viermelui Conficker. Apárut in Noiembrie 2008, 
acesta a avut o propagare foarte rapidă, precum si o serie de transformări într-o 
perioadă de câteva luni. Versiunea iniţială, Conficker A, a început pe 21/11/2008 
infectând staţiile prin exploatarea vulnerabilitatii MS08-067 a Microsoft Windows 
[MS1 1-01]. CAIDA a observat trafic de la staţiile infectate cu Conficker utilizând UCSD 
Network Telescope şi documentat comportamentul în [Cai08]. 
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Figura 3.24 - Evoluția inițială a numărului de IP scanează port TCP/445 - Sursa [Cai08]. 


Trendul din această perioadă iniţială indică prezenţă unui vierme care afectează 
infrastructura globală a Internetlui, putându-se estima şi rata de infectare la nivel global. 
În cazul de fata, rata de infectare la nivelul Internetlui (calculata pe baza [PPNO5-01]) 
este de £=18=114911*8/(14*3600) staţii pe secundă, unde 114911 este valoarea 


maximă atinsă a numărului de adrese IP ce scanează spaţiul telescopulului de clasă A 
(/8) (între ora 17 şi 18), iar 14 reprezintă numărul aproximativ de ore în care trendul de 
creştere este uniform. 


Propagarea Conficker B a fost observată începând cu data de 29/12/2008, şi a introdus 
tehnici suplimentare pentru răspândire. Conficker A şi B au utilizat un algoritm de 
generare pseudo-aleatoare de nume de domenii, şi încărcau cod nou de pe un 
webserver când era identificat la respectivul nume de domeniu [Por09]. 


Distributie trafic observat de "Network Telescope" 
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Figura 3.25 — Distribuţie trafic observat de „Network Telescope" 
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Pentru a exemplifica modul de utilizare a informatiilor colectate de telescop pentru 
analiza evolutiei viermelui, se va utiliza un esantion de date bazat pe traficul 
receptionat de telescop de durata unui interval de 1 orá din zilele de 21/11/2008 
(inceputul propagárii Conficker A), 18/03/2009 (dupá Conficker C) si 25/04/2009 (dupá 
Conficker E). Perioada aleasa este ilustrativa pentru intelegerea caracteristicilor de 
propagare ale versiunii Conficker C (versiunea P2P) lansatá pe 05/03/2009. Dupá cum 
se poate observa aproape 25% din traficul receptionat pe 18/03 de telescop a fost de 
tip Conficker C ce a utilizat pentru propagare porturi TCP/UDP peste 5000. Numárul de 
pachete TCP cu portul destinatie 445 este in scádere, ceea ce sugereaza ca Conficker 
C nu scaneazá vulnerabilitatea MS08-067. Pe 25/04 se observa o scădere a volumului 
de trafic Conficker C la 8% din traficul receptionat de telescop ceea ce indica o scádere 
a populatiei, insá distributia pe porturi mentinandu-se in acelasi trend, ceea ce indica 
acelaşi gen de activitate. Volumul de pachete TCP 445 este în creştere ceea ce 
sugereazá cá celelalte versiuni Conficker sondeazá din nou vulnerabilitatea MS08-067. 


3.5.4.2 Monitorizarea amenintárilor pe baza datelor DShield (ISC) 


Pentru a ilustra utilitatea unei astfel de solutii in procesul de monitorizare de tip 
intelligence se va analiza evolutia numárului de scanári pentru portul TCP 445 pe o 
durată reprezentativă din activitatea viermelui Conficker [Aco09]. 
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Figura 3.29 — Activitatea de scanare pentru port TCP 445 11/2008 — 03/2009 (sursa [ISC--]) 


in ciuda limitárilor care afecteazá acuratetea datelor in cazul (CAIDA si DShield), unele 
(mentionate in sectiunea 3.5.1), precum si accesului limitat la datele colectate (in cazul 
ATLAS si CAIDA), analiza trendului este in másurá sá ofere rezultate foarte utile mai 
ales prin prisma monitorizării contextului general extern global si identificării 
schimbarilor ca apar in spatiul amenintarilor. 
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Data Eveniment Stare observata 
21/11/2008 Începutul propagarii viermelui Conficker Ace | Creste imediatá a numárului de scanari. Majoritatea 
scaneazá uniform intreg spatiul Internet infectiilor se finalizează in primele zile. După câteva 
exploatând vulnerabilitatea MS08-067 zile scade cu 25% în principal datorită măsurilor de 
Microsoft Windows accesibilă via port răspuns ale organizaţiilor. Un număr mare de PC (în 
TCP/445 mare parte sisteme personale continuă) să fie 
infectate 

29/12/2008 | Începe propagarea Conficker B. Acesta Creşterea a numărului de scanări datorat unui nou 

incorporează algoritmul de hashing MD6 vector de propagare (USB) . Trendul de creştere se 
hashing pentru a securiza comunicaţia staţiile | menţine în contextual unei reacţii minime datorate 
infectate şi punctele de întâlnire . Scopul sărbătorilor de Anul Nou, precum şi al faptului că 
urmărit a fost de a împiedica botnet-urile rivale | maşinile preponderent afectate sunt cele personale. 
de a prelua controlul asupra staţiilor infectate 

15/01/2009 | Microsoft oferă un program de dezinfectie Oferă o stabilizare a numărului de scanări. Faptul 

pentru versiunile iniţiale că volumul se menţine ridicat indică gradul încă 
ridicat de lipsă de interes al utilizatorilor finali în ceea 
ce priveşte problemele de securitate. 
20/02/2009 | Se lansează Conficker C Volumul de scanare îşi menţine acelaşi trend 
deoarece populaţia Conficker A,B existentă , cât şi 
cea vulnerabilă îşi menţin caracteristicile, iar 
Conficker C nu utilizează scanare TCP/445. 
05/03/2009 | Conficker C începe să preia controlul asupra | Se observă o scădere accentuată în volumul de 
staţiilor PC infectate cu Conficker B si B++. | scanare datorată faptului ca versiunea C nu 
Conficker C organizează staţiile infectate în | utilizează scanarea TCP445. Scanarea nu a revenit 
rețele P2P şi întrerupe scanarea aleatoare la nivelul lui 11/2008 deoarece există încă o 
asupra portului TCP/445 populaţie mare Conficker A 

17/03/2009 | Începe migrarea PC infectate către Conficker | Se observă o scădere justificată prin migrarea unor 


D 


sisteme cu versiunea A, direct către D 


Tabel 3.2 - Momente de referinţă în evoluția viermelui Conficker în perioada 11/2008-03/2009 
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Motto: Modul cum abordezi o problemá este mai important decát problema fn sine. 
- Voltaire 


CAPITOLUL 4 


ARHITECTURA DE MONITORIZARE A SECURITÁTII 


O arhitecturá genericá de monitorizare a securitátii are urmátoarele componente: surse 
de evenimente cu relevanta pentru procesul de monitorizare (sisteme IDS de retea, 
rutere, sisteme de verificare a integritatii fisierelor, etc.), colectoare de evenimente, 
baza de date cu mesaje de securitate, module de analizá si aplicatii pentru suportul 
răspunsului la incidentele de securitate identificate [PPNO8]. Problema cea mai des 
întâlnită în implementarea unei arhitecturi o reprezintă integrarea componentelor 
enumerate anterior, în contextul asigurării integrităţii, disponibilitatii şi securităţii datelor, 
şi a canalelor de comunicaţie între componente. Pentru o aplicabilitate extinsă se va 
considera că infrastructura ce se doreşte a fi monitorizată aparţine unei organizații 
diferită de cea ce oferă serviciile de monitorizare - cazul tipic pentru serviciile 
externalizate cum ar fi Managed Security Servicies [Cou02]. Pentru simplificare, se va 
utiliza termenul de „infrastructura clientului” pentru a desemna „infrastructura clientului 
ce se doreşte a fi monitorizată”. 


4.1 Evaluarea stării de securitate a infrastructurii IT a clientului 


Eficacitatea componentei de monitorizare este strâns legată de modul de operare ale 
celorlalte componente ale programul de management al securității organizației 
clientului. De aceea, înainte de a începe implementarea arhitecturii de monitorizare, 
este necesar a se evalua [PPNO7-01]: 

e identificarea claselor de ameninţare şi stabilirea zonelor de monitorizare 

e Politica de securitate în termeni de drepturi de acces, operaţii permise, etc. 


e Starea generală de securitate a infrastructurii clientului. În acest mod se poate 
determina dacă o cale de atac poate conduce efectiv la o intruziune pe 
sistemele clientului, precum şi nivelul critic asociat încercării de intruziunii. 


4.1.1 Inventarul tehnic şi organizational 


Evaluarea nivelului de securitate poate fi împărţită în următoarele componente 
[PPINO8-01]: 
e Stabilirea stării de vulnerabilitate a infrastructurii clientului. Colectarea acestor 
date se poate efectua utilizând tehnici precum [PNN10]: 


¢ Black Box (cutie închisă) — Asemenea unui proces PenTest (testarea 
penetrării), se scaneazá infrastructura clientului pentru a obține informații 
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despre: topologie, porturi deschise, aplicatii, vulnerabilitáti, sisteme de 
operare. Este o optiune folositá pe scará largá deoarece informatiile se obtin 
foarte rapid. 

+ White Box (cutie deschisă) — În acest caz clientul va oferi informaţii legate de 
inventarul hardware, topologia infrastructurii sale, aplicaţii, etc. Se 
recomandă a fi utilizată în cazul în care se doreşte generarea căilor de 
intruziune precum şi când infrastructura foarte complexă şi utilizează 
controale care previn scanarea. 

e Importanţa pentru procesele organizaţiei clientului a fiecărei componente din 
infrastructura IT a acestuia. Deoarece această componentă prezintă un grad 
ridicat de subiectivism, pentru a determina cât mai obiectiv impactul asupra 
clientului pe care-l poate avea o intruziune, se recomandă ca analiza să se 
efectueze utilizând o metodă standard pentru clasificarea şi taxonomia atacurilor 
de genul celei prezentate în secţiunea 1.5.5 (o versiune simplă) sau 2.4.5 (dacă 
se doreşte o versiune mai complexă). 


Datele obţinute la acest pas se vor salva în baza de cunoştinţe (modulul Înregistrare 
Configuraţie Client). 


4.1.2 Stabilirea modelelor de ameninţare şi a zonelor de monitorizare 


Un modelul de ameninţare este o expresie a aşteptărilor referitoare la natura 
atacatorului si la caracteristicile potentialelor victime. Atacatorii pot fi grupaţi în 
următoarele clase [Bej04]: 

e Atacatori externi care lansează intruziuni din Internet 

e Atacatori externi care lansează intruziuni din segmente wireless 

e Atacatori interni care lansează intruziuni dintr-un LAN 

e Atacatori interni care lansează intruziuni din segmente wireless. 


Abilitatea de a observa victimele pentru diferite tipuri de atac determină şi amplasarea 
platformelor de monitorizare (senzori). Figura 4.1 arată un exemplu de reţea ale cărei 
componente pot fi regăsite în organizaţii mici şi mijlocii, având patru zone de 
monitorizare. Zonele de monitorizare sunt locaţiile în care traficul are anumite nivele de 
privilegiu, stabilite pe baza unui nivel de încredere definit de inginerul de securitate. 
Aceste trăsături sunt determinate de un dispozitiv de control al accesului, care 
segmentează traficul în zone diferite. In cazul exemplului de fata, dispozitivul de control 
al accesului este un firewall, care împarte organizaţia în patru zone distincte: 
perimetrul, zona demilitarizată (DMZ), zona wireless şi intranet. 


Perimetrul cuprinde zona dintre interfața externă a firewall-ului şi ruter-ul de conectare 
la Internet. Această zonă a reprezentat în mod tradiţional locul de amplasare al 
senzorilor, deoarece oferă cea mai bună vizibilitate asupra amenințărilor externe din 
Internet. Perimetrul este de asemenea considerat zona cu cel mai scăzut nivel de 
încredere, deoarece organizația are control limitat asupra staţiilor care inițiază 
conexiuni către acesta. 


Organizațiile care amplasează senzori în perimetru au posibilitatea să colecteze 
informaţii despre ameninţări. Activitatea de scanare şi încercările de intruziune eşuate 
la nivelul firewall-ului pot constitui indicatori pentru viitoare atacuri. 
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Figura 4.1 - Zone de monitorizare 


Intranet 


Zona demilitarizatá cuprinde staţiile conectate la switch-ul DMZ. Senzorii plasati în 
aceasta zona vor urmári in mare masura descoperirea atacurilor impotriva serviciilor 
uzuale din DMZ (e-mail, web, DNS, FTP, etc), precum si atacuri initiate din DMZ cátre 
alte zone. Produsele de detectie pe baza traficului de retea ofera un grad de eficienta 
ridicat in monitorizarea staţiilor DMZ, datorită nivelului scăzut de trafic de zgomot si 
politicii de securitate relativ simple care guvernează activitatea DMZ. Principala 
problemă a senzorilor din DMZ o constituie manipularea traficului criptat. Senzorii 
generici nu pot inspecta conținutul traficului de web ce utilizează criptare SSL, dar 
există anumite tehnici specializate pentru a oferi vizibilitate la nivel reţea cum ar fi: 
senzorii cu chei "escrow", dispozitive de accelerare a SSL si proxy reverse web. 


DMZ reprezintă o rețea cu nivel de încredere mediu, deoarece staţiile sunt sub 
controlul direct al organizaţiei, dar sunt expuse utilizatorilor din Internet. O buna 
administrare va limita conectivitatea staţiilor din DMZ către celelalte segmente, în 
special intranet. 


Zona wireless cuprinde toate staţiile cu conectivitate wireless. Stațiile din aceasta 
zonă au nivel de încredere scăzut, ca şi cele din Internet, deoarece oricine aflat în raza 
de acces a punctului de acces wireless (WAP) se poate conecta în mod teoretic la 
segmentul wireless. Atacatorii externi din aceasta zonă pot fi grupaţi în două categorii: 
e Utilizatori de servicii fără plată, neautorizati (datorită unei configurări 
neadecvate) 


e Potentiali spioni care doresc acces la informaţii confidentiale. 


Metodele si tehnicile de detecție disponibile pentru această sunt: Airdefense 
RogueWatch, Airdefense Guard, Snort-Wireless, WIDZ [Pfl11]. Strategiile curente 
vizează detecția atacurilor din această zonă către intranet. Multe organizații au soluții 
ineficiente pentru protecţia clienţilor din această zonă. In ceea ce priveşte amenințările 
externe din Internet, staţiile din zona wireless adesea sunt tratate la fel ca şi cele din 
Intranet. 
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Intranet-ul cuprinde toate statiile conectate la switch-ul intern si este delimitat de 
interfata interna a firewall-ului. Statiile din aceasta zona au nivelul de incredere cel mai 
ridicat. Utilizatorii din Internet nu trebuie sa acceseze direct aceste sisteme, decat dupa 
ce au fost autentificati utilizand un mecanism VPN. Se recomandá monitorizarea in 
special pe bazá de HIDS, deoarece intruziunile impotriva statiilor intranet sunt cel mai 
adesea lansate din interior. NIDS sunt mai putin eficiente in aceasta zona deoarece 
atacatorii interni nu scaneaza sisteme vulnerabile, nu cauta sa exploateze victima, nu 
copiaza informatia confidentiala prin retea catre statii externe, ci pot accesa informatia 
folosind un cont si parola valida si o pot copia pe un mediu extern. 


Metodele de detectie bazate pe NIDS vizeazá in special atacurile lansate din exterior. 
In cazul in care este necesará monitorizarea intranetului la nivel retea, se recomandá 
urmátoarele abordari pentru a adresa limitári datorate complexitatii intranetului si a 
volumului ridicat de trafic al acestuia: 

e Datorită segmentarii rețelelor interne si a faptului ca în majoritatea cazurilor 
staţiile de aceeaşi importanţă sunt grupate în acelaşi segment, senzorii se pot 
plasa în aceste subretele. 

e Amplasarea de agenti de colectare pe staţiile critice, care vor transmite traficul 
către un senzor centralizat. 


4.1.3 Considerații specifice zonelor de monitorizare wireless 


Conceptual se pot implementa următoarele tipuri de monitorizare: 

e Monitorizarea ca participant la rețea în care senzorul este plasat între WAP şi 
firewall. O astfel de instalare va monitoriza activitatea din şi spre zona wireless, 
dar nu şi în zona wireless. 

e Monitorizarea ca participant in zona wireless în care senzorul este echipat cu 
interfață wireless. In cazul în care senzorul este participant în reţeaua wireless, 
acesta se asociază unui WAP şi obţine o adresă de IP de la acesta. Traficul de 
monitorizare observat va fi asemănător unui client conectat la o rețea Eternet 
clasică. 

e Monitorizarea ca observator în zona wireless poate fi realizată cu dispozitive 
specializate sau utilizând un kernel Linux Knoppix [KnoO2]. In acest mod 
senzorul poate accesa şi frame-urile de management care sunt invizibile 
majorităţii participanţilor în reţeaua wireless. Ca observator se pot depista 
atacurile de tip disociere. 

e Monitorizarea la nivelul WAP. Majoritatea punctelor de acces bazate pe kernel 
Linux, sau BSD oferă posibilitatea accesului la traficul din rețeaua wireless 
[Sam02]. WAP comerciale actuale oferă posibilitatea de a copia local traficul 
care-l operează prin instalarea de IDS (Snort), sistemul de fişiere fiind accesat 
via NFS de către o stație de colectare centrală. 


4.1.4 Baza de date cu vulnerabilitati 


Aceastá componenta contine informatii despre brese de securitate si combinatii de 
situatii care ar putea avea impact asupra securitatii in general, sau ar putea fi 
exploatate de un atacator pentru a realiza o intruziune. Formatul bazei de date va 
trebui sa includă următoarele tipuri de vulnerabilitáti [Tho05]: 
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e Vulnerabilitáti structurale — acestea sunt vulnerabilitáti interne ale unei aplicaţii 
cum ar fi: conditii de concurentá (race conditions), buffer overflow, erori de 
format de sir de caractere, etc. Aceastá parte a bazei de date este cel mai usor 
de implementat, si actualizat. Majoritatea acestor procese pot fi automatizate 
avánd in vedere cá informatia este accesibilá prin intermediul subscrierii la 
anumite liste publice de postá, sau direct de pe anumite site-uri web unde se 
gásesc vulnerabilitáti [CVE--]. In cazul utilizarii mai multor surse, este necesara 
validarea si corelarea acestora de cátre o echipá abilitatá in acest sens. 

e Vulnerabilitati funcționale — acestea depind in principal de mediul operational 
(configurații, condiţiile operaţionale, utilizatori, etc.). De exemplu, o partiție 
montată via NFS se consideră a fi vulnerabilitate funcţională în contextul în care 
atacatorul poate accesa un cont sau sistem care îi permite montarea sistemului 
de fişiere. De aceea, se poate presupune că există un număr mare de astfel de 
vulnerabilitáti în sisteme, dar pot fi considerate ca inactive atât timp cât cel puţin 
o condiţie necesară nu este satisfăcută. Definirea, reprezentarea şi actualizarea 
bazei de date reprezintă o sarcină destul de dificilă pentru această categorie de 
vulnerabilitati, şi necesită conlucrarea unor echipe din mai multe domenii 
(aplicaţii, sisteme de operare, rețea, baze de date, etc.). 

e Vulnerabilitati topologice — includ vulnerabilitati datorate protocoalelor de 
comunicaţie în rețea (de exemplu: sniffing, spoofing, hijacking, etc). Pentru a 
putea fi introduse în baza de date, aceste vulnerabilitáti trebuie să ofere suport 
pentru modelarea topologiei. 


4.1.5 Politica de securitate 


După stabilirea inventarului infrastructurii client, se vor evalua aspectele politicii de 
securitate care influențează generarea de evenimente, procesele de raportare şi 
reacţie la intruziuni, pentru a fi păstrate în baza de cunoştinţe. 


Aspecte precum autorizarea, procedurile de testare şi auditare vor oferi informații 
legate de tipul de comportament pe care senzorii îl vor putea detecta. Evenimentele 
generate (cum ar fi: accesul de nivel administrator, scanare porturi, etc.) vor fi evaluate 
în contextul politicii de securitate. Cele găsite ca neconforme cu criteriile politicii de 
securitate vor fi analizate ca parte posibilă a unei încercări de intruziune [PNO8]. 


4.1.6 Evaluarea nivelului de securitate a clientului 


Ultima componentă a bazei de cunoştinţe o reprezintă evaluarea detaliată a nivelului de 
securitate a infrastructurii clientului. Această evaluare contine [OSSO05]: 

e Vulnerabilitatile la care sunt expuse sistemele identificate (la pas 4.1.1) conform 
bazei de vulnerabilitáti (4.1.4) şi a cerinţelor definite în politica de securitate 
(4.1.5) 

e Impactul relativ pentru fiecare vulnerabilitate la care există expunere 

e Căile de atac ce conduc la activarea vulnerabilitátilor inactive. 


Acest nivel de evaluare va trebui regenerat de fiecare dată când sunt modificări în 
rândul vulnerabilitátilor (de exemplu: o noua vulnerabilitate este identificată), sau al 
sistemelor client monitorizate (de exemplu: un server web este instalat pe un client deja 
monitorizat, sau clientul introduce un nou sistem în infrastructura sa). 
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4.1.7 Consideratii asupra administrárii senzorilor dispusi in perimetrul 
clientului 


Managementul senzorilor utilizează una sau mai multe strategii, fiecare având 
caracteristici de securitate, utilitate şi eficiență specifice. Serviciile necesare arhitecturii 
de monitorizare determină adesea opţiunile de acces la distanță. Cele mai populare 
metode de acces la senzori sunt [Bej04]: 

e Accesul senzorului prin consolă reprezintă cea mai sigură modalitate de 
management a senzorului. Deşi accesul strict prin consolă limitează capacitatea 
atacatorului de a lansa atacuri împotriva senzorului, acesta nu este imun totuşi 
la compromitere. Atâta timp cât activitatea malitioasa este vizibilă senzorului, 
atacatorul are o modalitate de a influența modul de operare al senzorului. Cele 
mai distructive modalităţi de atacare a senzorilor presupun exploatarea unor 
vulnerabilitati ale software-ului care colectează date prin interfața de 
monitorizare. Un exemplu în acest sens îl reprezintă vulnerabilitátile unor 
aplicaţii majore utilizate în sistemele IDS de rețea cum ar fi tcpdump [CER--]. 

e Acces la distanţă in bandă presupune administrarea senzorului prin utilizarea 
infrastructurii de rețea a organizaţiei (senzorul şi staţia de management, 
utilizează aceeaşi infrastructură utilizată de ceilalţi utilizatori pentru trafic de e- 
mail, web, etc). Atât accesul la date cât şi administrarea se face utilizând VPN. 
Dezavantajul acestui tip de acces îl reprezintă fragilitatea — configurári greşite 
ale SSH, serviciilor VPN ( IPSec), sau unele aspecte ale stivei de reţea pot duce 
la izolarea senzorului. 

e Acces la distanţă în afară de bandă presupune administrarea senzorilor utilizând 
canale de comunicaţie separate de cele utilizate pentru transferul traficului 
utilizator. Ca opţiuni în acest sens ar fi echiparea senzorului cu o interfaţă 
dedicată şi utilizarea de linii dedicate pentru conectarea cu site-ul unde este 
dispus senzorul. Unii administratori consideră că Internetul este destul de fiabil, 
dar există posibilitatea de blocare al senzorilor, care ar necesita o repornire la 
rece. Pentru aceasta, senzorii se conectează la surse de alimentare controlate 
prin rețea. 


4.2 Componentele Arhitecturii de Monitorizare a Securităţii 


Definiţie: Arhitectura de monitorizare a securității este un termen generic pentru o 
colecţie de sisteme al cărei scop este de a furniza servicii de detecție şi răspuns la 
incidentele de securitate care au loc în organizaţia respectivă. 


Pe baza acestei definiţii se pot distinge următoarele operaţii efectuate de arhitectura de 
monitorizare: generarea, colectarea, stocarea, analiza evenimente de securitate şi 
răspunsul la incidentele de securitate. 


Utilizând terminologie similară celei definite în CIDF şi IDMEF [RFC-4765], sistemele 
care alcătuiesc arhitectura de monitorizare a securităţii se clasifică în funcţie de 
operaţiile efectuate după cum urmează: 

e Sisteme E- generează evenimente de securitate 

e Sisteme C - colectează evenimente de la sistemele E 

e Sisteme D - stochează baza de date cu evenimente 

e Sisteme A - realizează analize şi corelaţii de evenimente 
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e Sisteme K - responsabile cu managementul cunoștințelor despre vulnerabilitati, 
semnături de intruziuni, configuraţia platformelor protejate, precum şi alte 
informaţii utile analistului de securitate 

e Sisteme R - răspund la incidente, sau suportă personalul de securitate in 
procesul de ráspuns la incidente. 


Sisteme R 
Raspuns la incidente si rapoarte 


Sisteme A + Sisteme K 
Analiză intruziune Bază cunoştinţe 


Sisteme D 
Baza de date cu evenimente 
(evenimente în format comun, normalizat) 


Sisteme C 
Colectoare de evenimente 


Sisteme E 
Generatoare de evenimente 
(senzori şi polere) 


Figura 4.2 - Componentele arhitectura de monitorizare a securității şi relaţiile între acestea 


4.2.1 Sisteme E 


În funcţie de modul de creare a evenimentelor, sistemele de tip E se împart în două 
categorii [Els08]: 

e Generatoare bazate pe evenimente (senzori). Evenimentele de securitate sunt 
create ca urmare a unei operaţii specifice executate de sistemul de operare, de 
aplicaţie sau a unei activităţi detectate în reţea. 

e Generatoare bazate pe stare (pollers). Evenimentele sunt generate ca urmare a 
unui interogări externe cum ar fi: cerere ping, verificare a integrităţii datelor, 
verificarea stării unui daemon, etc. 


Senzorul este un agent autonom ce rulează într-un mediu potenţial ostil, şi care are 
următoarele caracteristici [Spa00]: rulează permanent, este configurabil şi adaptabil, 
este scalabil, tolerant la defectiune, rezistent la atacuri, necesită resurse limitate, 
asigură o degradare treptată a serviciului, şi permite o reconfigurare dinamică. 
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Exemple de senzorii utilizaţi în implementarea soluţiilor de monitorizare sunt [PPNO7- 
01]: 
e NIDS, HIDS 
e Sisteme de filtrare (la nivel de rețea, aplicație sau utilizator) cum ar fi: sisteme 
firewall, rutere cu liste de control al accesului (ACLs), switch-uri ce 
implementează filtrare pe adrese de tip MAC, servere de autentificare 
(RADIUS). 
e Honeypots, 
e Snifere de rețea, etc. 


Polerele generează un eveniment atunci când detectează o anumită stare pe un 
sistem tert. Un exemplu de polere îl reprezintă sistemele de management în rețea. In 
contextul monitorizării securității, polerele vor verifica starea serviciilor (pentru a detecta 
situații de tip DoS) si integritatea datelor (de exemplu conținutul unei pagini web). 
Principala limitare a acestui tip de sistem E o reprezintă performanța. In cazul în care 
polerul este configurat să interogheze multe stații țintă la intervale scurte de timp, 
consumul de resurse (CPU, bandă de rețea) poate afecta operarea polerului. 


4.2.2 Sisteme C şi D 


Sistemele de tip C au rolul de a colecta evenimentele generate de sistemele E si de a 
le translata într-un format standard ce permite o procesare consistentă la nivelul 
întregului spațiu monitorizat. Principalele riscuri arhitecturale ale sistemelor C le 
reprezintă disponibilitatea şi scalabilitatea, însă aceste riscuri se pot adresa utilizând 
soluții tipice serverelor pentru rezolvarea unor astfel de probleme cum ar fi: folosirea 
unor soluții de tip cluster, HA (High Availability - de disponibilitate ridicată), şi LB (Load 
Balanced - de distribuire a încărcăturii) [OSS05]. 


În momentul de fatá nu este definit un standard legat de formatarea datelor colectate, 
acest subiect fiind inca o problema nerezolvatá in rándul comunitátii de securitate. 


Sistemele de tip D sunt baze de date si reprezinta componentele cu cel mai inalt grad 
de standardizare din arhitectura de monitorizare a securităţii. MySQL este adesea 
opţiunea pentru implementările bazate pe surse deschise (cum ar fi OSSIM), iar Oracle 
sau MS SQL pentru implementări comerciale, sau foarte complexe (cum ar fi 
Counterpane). Aceste sisteme realizează totodată şi normalizarea evenimentelor — 
identificarea şi combinarea evenimentelor duplicate generate de aceeaşi sursă sau 
provenind de la surse distincte [PPNOS]. 


Dintre problemele ce trebuie avute în vedere la implementarea acestei componente 
într-o arhitectură de monitorizare a securităţii se amintesc: disponibilitatea, integritatea 
şi confidentialitatea bazelor de date (acestea fiind aspecte tipice legate de bazele de 
date), precum şi performanţa bazelor de date. Pentru ca arhitectura de monitorizare a 
securităţii să răspundă eficace la încercările de intruziune, evenimentele vor trebui 
stocate, procesate şi analizate cât mai rapid. 


4.2.3 Sisteme A şi K 


Sistemele K (în general baze de date) contin informaţii şi cunoştinţe despre: politica de 
securitate, infrastructura monitorizată, vulnerabilitáti, scenarii de intruziune si indicatori 
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Sistemele A au rolul de a analiza evenimentele stocate in sistemele de tip D in 
contextul cunostintelor oferite de sistemele K, cu scopul de a genera mesaje de alerta 
cu un grad cát mai mare de acuratete. 


Noile tehnologii si aplicatii in Internet, precum si modificári in spatiul vulnerabilitátilor, 
amenintarilor si al managementului de risc, necesita o revizuire constanta a sistemelor 
A . Aceasta a determinat ca implementárile comerciale actuale ale acestor componente 
să fie proprietare (cum ar fi Socrates folosit de BT Counterpane [Cou02]), iar cele din 
surse deschise, desi destul de diverse, sá fie limitate la stadiul de verificare a 
conceptului. [PPNO9] 


Totodatá, operarea acestor sisteme necesitá o activitate umaná intensá (analisti de 
securitate), care sa adreseze limitárile proceselor de analiza curente ín situatii 
conflictuale (datorate unor scenarii de atac incorecte), contradictorii (cánd unii senzori 
au fost corupti si oferá evenimente fabricate), sau cu grad de nedeterminare ridicat (in 
cazul unor încercări de intruziune in desfăşurare, sau reuşite, care au evitat 
mecanismul de detectie) [PPNOS]. 


Functiile oferite de aceste sistemele de tip A vor constitui pentru o lunga durata de timp 
obiectul celor mai multe preocupari de cercetare din aria monitorizarii securitatii, cum ar 
fi: modelarea si reprezentarea matematica a noilor amenintari, algoritmi de corelatie, 
îmbunătăţirea ratei de alerte false, procesarea distribuită a alertelor, etc. Capitolul 
urmátor va prezenta si evalua un model matematic care ar putea fi folosit pentru a 
adresa limitari curente din aceasta zona. 


4.2.4 Sisteme R 


Ín cazul in care se doreste implementarea unui ráspuns automat la intruziune trebuie 
sa se ia in considerare aspecte de ordin legislativ, contractual (de exemplu: in cazul in 
care un furnizor de servicii detecteazá un atac venind de la un client) cát si strategia de 
impunere a respectarii politicii de securitate (de exemplu: o statie care ruleazá procese 
importante pentru organizatie, si care a fost contaminatá de un vierme, se pune in 
carantiná automat, chiar cu riscul privárii utilizatorilor de serviciul respectiv) [NIST SP 
800-61]. 


Acest gen de constrángeri au determinat ca in cele mai multe cazuri sistemele R sa 
aibá un rol preponderent de suport al echipei de securitate care ráspunde la incidente 
cum ar fi: oferind documentatie despre modul de adresare a incidentului, rapoarte care 
sá asiste echipa care ráspunde la incident (oferind informatii despre impactul intruziunii 
asupra organizatiei, progresul de restaurare a serviciilor sau de dezinfectare a statiilor 
[OSS05]), acţiune asupra sistemelor proprii afectate (de exemplu: punerea în carantină 
automată a staţiilor afectate de un atac pe bază de vierme în desfăşurare) [Zou03]. 


4.3 Consideraţii asupra performanțelor şi limitărilor în generarea 
evenimentelor 


Sistemele E se vor configura astfel încât să genereze maximum posibil de date. Aceste 


date pot fi trimise în timp real către sistemele C sau pot fi păstrate local pentru a fi 
conectate la un moment ulterior de către sistemele C (acest caz fiind similar probelor 
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RMON). Atunci cánd generarea unui volum mare de date va crea probleme de 
performanta (de exemplu: colectarea fisierelor access log pentru un centru de hosting 
web larg) se poate opta pentru filtrarea informatiei la nivelul sistemelor sursá de tip E, 
dupa efectuarea in prealabil unei evaluári [Bej04]. 


Din punct de vedere teoretic se doreste un volum maxim de date de la senzori a fi 
prezentate sistemelor colectoare. Insá acest punct de vedere are limitári in ceea ce 
priveste performanta. Daca o astfel de abordare poate fi implementata in mod rezonabil 
pentru sistemele IDS, in cazul evenimentelor de securitate generate de sisteme de 
operare precum si de alte aplicatii sau echipamente din retea, solutia devine ineficienta 
in practicá (de exemplu, colectarea fisierelor log de acces la fiecare paginá web pentru 
o companie care oferá servicii webhosting)[Lar06]. 


Devine astfel necesar in cele mai multe cazuri prefiltrarea informatiei la nivelul sursei. 
Un astfel de filtru poate reduce semnificativ volumul de date colectate. Totusi aplicarea 
unui filtru inainte de generarea de evenimente inseamná cá o primá calificare este 
efectuatá, aceasta fiind determinata de urmátorii factori [Voo07]: 

e Specificații structurale — este cazul in care unele evenimente nu vor fi generate 
dupá cum intereseazá componentele (hardware, sistem de operare, aplicatie) 
care nu sunt prezente in sistemul monitorizat. Acest tip de filtru este de obicei 
aplicabil echipamentelor de tip IDS, firewall sau de flitrare. 

e Prefiltrári pe baza politicii de securitate — este cazul filtrelor stabilite pentru a nu 
genera evenimente care sunt conforme politicii de securitate. De exemplu, 
scanárile de porturi initiate de echipamentele proprii de securitate pentru 
verificarea vulnerabilitátilor. 


Aceste filtre pot reduce in mod semnificativ resursele necesitate de colectori, insa au 
două mari limitări: dificultatea menţinerii filtrelor într-o arhitectură distribuită, în acest 
sens sunt necesare proceduri riguroase pentru controlul modificărilor pentru a asigura 
că filtrele sunt într-adevăr conforme cu politica de securitate, cât şi proceduri care să 
asigure că schimbările în politica de securitate şi arhitectura sistemelor sunt reflectate 
în aceste filtre. În plus, cum multe din aceste prefiltrări sunt necesare la nivelul 
aplicaţie, varietatea aplicaţiilor va determina o complexitate crescută în ceea ce 
priveşte managementul acestor fişiere de configurare [Cis11]. 


Un alt aspect este lipsa de reprezentare cât mai precisă a realităţii (statisticile vor fi 
mult mai puţin fiabile iar unele investigaţii post-incident vor fi lipsite de anumite 
informaţii ceea ce va limita înţelegerea a ceea ce s-a întâmplat. 


4.4 Colectarea evenimentelor 


Principalele operaţii efectuate de colectori sunt: recepţia de mesaje primare 
(evenimente) prin diferite protocoale şi identificarea tipului de sursă pentru formatare. 
Odată ce evenimentul este formatat va fi stocat în baza de date a evenimentelor. 
Aspectele legate de performanţă şi disponibilitate necesită proiectarea unei arhitecturi 
scalabile care permite o distribuţie a colectorilor şi bazelor de date în reţea. 


Colectarea de date din surse eterogene implică implementarea de două tipuri de agenți 
la nivel de protocol şi aplicaţie. Primul nivel colectează informaţii de la sistemele E, cel 
din urmă translatează informaţia într-un format standard pentru stocare. Cele două 
module sunt conectate printr-un dispecer. O astfel de arhitectură permite 
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implementarea de sisteme HA (high availability) si LB (low-balancing) la orice nivel al 


arhitecturii. 


Rețea liPublicà 
iNesigura) 


Agent 
protocol 
SNMP. 


Agent 
protocol 
HTTP 
socket 


HA & LB 
Dispecer Dispecer 


sockets sockets 

N HA & LB 
Agent Agent Agent 

aplicatie aplicație |: | aplicație 
(Windows) Apache) || (Oracle) 


Arhitectura colectare distribuità cu HA&LB 
(High Availability & Load Balancing) 


Agent 
protocol 
syslog 


Agent Agent Agent 
protocol | | protocol protocol 
syslog SNMP HTTP 


mqueue 


mqueue mqueue 


aplcate ap Eg a Ka 
KH Eg Eg 


Arhitectura colectare locala 


Figura 4.4 - Exemple de arhitecturi HA, LB bazate pe detaliile oferite mai jos. 


4.4.1. Agentii de tip protocol 


Agentii de tip protocol sunt proiectati sa receptioneze informatii de la diferite protocoale 
de nivel transport sau aplicatie cum ar fi: Syslog, SNMP, SMTP, HTTP, etc. Acestia 
actioneaza ca aplicatii server, iar obiectivul lor este de a asculta conexiunile de intrare 
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catre sistemele E si de a furniza datele colectate catre dispecer [Ngu02]. 


Simplicitatea unor astfel de agenti face ca implementarea si mentinea sa fie usor de 
efectuat. Formatul datelor de stocare este in general de tip fisier utilizand ca metodá de 


transfer cátre dispecer “named pipes", "sockets" sau “shared memory” pentru a asigura 
o performanta mai buna. 


Datorita simplicitátii acestor aplicatii si a faptului cá nu necesita partajare de date, se 
pot implementa cu usurintá grupuri de agenti pentru sistemele foarte mari. Cel mai 
important aspect de securitate care trebuie avut in vedere este asigurarea integritátii 
datelor colectate de agenti, in mod special dacá aceste date sunt transferate printr-o 
retea partajatá sau nesigurá. Actualmente existá o multitudine de protocoale pentru 
colectarea informatiilor care ruleazá avánd ca suport nivelul UDP. In acest sens este 
necesar incapsularea datelor printr-un tunel securizat pentru a avea siguranta 
integrității datelor pe durata transportului. [OSS--] 


Pentru a mentine un nivel de performanta ridicat precum si operarea eficientá a HA si 
LB se recomanda ca operatiile de criptare si decriptare sa se efectueze pe un 
echipament dedicat la fiecare capát al comunicatiei. 


4.4.2 Dispecerul 


Dispecerul are rolul de a determina tipul sursá al evenimentului de intrare si de a 
distribui mesajul original cátre agentul aplicatie corespunzator. Odata ce identificatorul 
specific pentru fiecare tip de sursá este determinat, implementarea este relativ simplá. 


Operatiile autonome efectuate de dispecer sunt [Ngu02]: 


e Ascultă canalul de intrare pentru agenții protocol (socket, named pipes, 
massage queue) 

e Execută o operaţie pattern matching utilizând o bază de date de sabloane, care 
pentru o performanta sporita poate fi preincárcate in memorie. Deoarece 
generatorii de evenimente pot utiliza formate de mesaje diferite in functie de 
protocolul de transmisie, formatul înregistrărilor din baza de date va avea 
următoarele câmpuri: tip sistem E, protocol transmisie, pattern 

e Transmite mesajul original către un agent de aplicaţie specific sistemului E. 


4.4.3 Agenţii aplicaţie 


Agenţii aplicaţie sunt specifici fiecărei entităţi (sistem E, protocol de transmisie) şi 
efectuează formatarea de mesaje la un model generic de mesaje al bazei de date 
[Alk08] 


Operatiile efectuate de agenţii aplicaţie sunt [Mic09]: 
e Ascultă canalul de intrare de la dispecer 
e Proceseazá mesajul original generând înregistrarea generică de mesaj 
e Transmite mesajul formatat către sistemele D. 
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4.4.4 Conlucrarea dispecerilor si a agentilor de aplicatie 


Din considerente de scalabilitate si disponibilitate unele implementári vor necesita 
operații redundante pentru executarea funcţiilor de dispecer si agent aplicaţie [Alk08]. 


De exemplu un dispecer va efectua următoarea operaţie pentru identificarea unei alerte 
de tip Snort: 


if(Sline =~ /.*snort: \|[\d+t:\d+t:\d+t\] .*) { 


send_to_snort_2.9_syslog_agent ($line) 


} 
Aplicatia agent va efectua urmatoarea operatie: 


Lie (Silane —— Juv \ | gea Nae NSE] (6) \iGlassitticacioms (5) NI] 

W[ExeieseitwyssgXd)e NA (Ca VN (ae) — Game) 1 

# completeazá cámpurile mesaj formatat per 4.5.2 

Simscirwos = Snort 2.9 = Miler” 

Sproto = getprotobyname ($3); 

Sare = GAs 

Sols = 553 

Sintrusion_type = S$intrusion_type[SnortIntrusionType ($2) ]; 

Sinto = Si; 


in cazul unei platforme centralizate, operatiile pot fi combinate dupa cum urmeaza: 


if ($line =~ /.*snort: \[\d+:\d+:\d+\] (.*) 
yYielassiricactons (GSIN \Piei@iesiieys = 18 
NI (a) NI (29) == (399 4 
$msgtype = $msgtype[l]; 
Sproto = getprotobyname($3); 


Genee = Sp 
Sälez = $53 
$intrusion type = $intrusion type[SnortIntrusionType($2)]; 
Sinio = St: 


in unele cazuri se poate combina functionalitatea dispecerilor si agentilor de aplicatie 
pentru simplificare si o performanta sporita. 


4.5. Formatarea de date si stocarea 
Pentru a asigura o procesare consistenta si interpretarea de catre fiecare componenta 


a arhitecturii de monitorizare, atat evenimentele colectate cat si informatiile despre 
sisteme vor fi formatate intr-o maniera standard [PPNO8]. 


4.5.1 Structura de date statie (host) 


Necesitatea de standardizare a structurii de date pentru statie este determinata de 
[OSS05]: 
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e Senzorii pot transmite informaţiile despre staţii în format IP sau FQDN (Fully 
Qualified Domain Name) 

e Un sistem fizic poate avea mai multe adrese IP 

e Un sistem fizic poate avea mai multe FQDN utilizând tehnici de virtualizare a 
staţiei 

e Sistemele HA şi LB pot raporta o singură adresă IP sau FQDN pentru mai multe 
sisteme fizice. 


Astfel identificarea unei staţii pe baza adresei IP sau FQDN nu este fiabilă. Mai mult, 
datorită unor considerente de performanţă, rezolutiile DNS inverse nu pot fi executate 
pentru fiecare IP/ FQDN identificate în fişierele log. Arhitectura propune crearea unui 
identificator independent de IP/ FQDN numit token de staţie. 


Pentru o mai buná cáutare si actualizare a structurilor de date de statie se recomandá 
ca acestea sa fie stocate intr-o structurá de tip “hash table” (si nu arbori sau liste). 


Tabelul hash va fi creat in memorie la pornirea sistemului si actualizat de fiecare datá 
cánd este identificatá o nouá adresá IP/ FQDN. 


4.5.2 Structura de date pentru mesaj 


Manipularea evenimentelor generate de tipuri diferite de echipament, precum si 
transmiterea acestora utilizand protocoale multiple, impune necesitatea unui format 
standard. 


Standardul IDMEF [RFC4765] elaborat în acest sens prezintă totuşi unele limitări în 
termen de performanţă datorat consumului mare de resurse şi volumului mesajului 
XML în procesul de corelaţie. Totuşi, o translatare separată a procesului trebuie 
implementată dacă se doreşte conformare cu standardul IDMEF. 


Database Properties 


Categories: 


Definition 


> Columns | | ` PhyskalName ^ | DataType |Reqd| PK | 
Primary ID | >| ID Messi LONG ID unic al mesajului (eveniment in Format standard, normalizat) ` 4| 
eat EI ID Senzor INTEGER ITT ID unic al senzorului 
Check EI ID Tip Mesaj IMTEGER [| Tip Mesaj (alerta snort, OSSEC, ipchains, apache, etc) 
Extended | |Time DATETIME C]  Data/Timp a generarii evenimentului 
Notes | | ID Host Sursa LONG LI C]  Identificatorul masinii sursa a intruziune OD Host) 
| | ID Host Destinatie LONG O L]  Identificatorul masinii tinta a intruziunii (ID. Host) 
| [Protocol INTEGER L1 L] ID Protocol (per TCP/IP standard) 
|| Port Sursa INTEGER L1 L] Numar port al sursei de intruziune 
| |Port_Destinatie INTEGER O | L] Numër port a tintei intruziunii 
EI Info vARCHARC.. O L] Informatii suplimentare 
[es] ID Intruziune LONG TT L] ID Intruziune 
| |ID Tip Intruziune INTEGER [| ID Tip Intruziune (Acces, Filtru 
E Mesaj Eveniment Original VARCHAR TT Mesaj Eveniment. Original generat de sistemul tip E = 
«| Be 


Show: © Portable data type (* Physical data type ` (Microsoft Access) 


Figura 4.5 - Structura mesajului formatat 


in crearea mesajelor cu format comun sunt implicate si alte structuri de date. Relatiile 
intre aceste structuri sunt prezentate in figura 4.6. 
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Tabel Tip Mesaj 


PK 


ID Tip Mesaj 


Desc Tip Mesaj 


Tabel Intruziune 
PK | ID_Intruziune 
BID 
CVE 
FK1 | ID_Tip_Intruziune 


Tabel_Tip_Intruziune 


PK 


ID Tip Intruziune 


Desc Tip Intruziune 


Tabel_Mesaj 


ID_Mesaj 


ID_Senzor 
ID_Tip_Mesaj 
Time 
ID_Host_Sursa 
ID_Host_Destinatie 
Protocol 
Port_Sursa 
Port_Destinatie 
Info 

ID_Intruziune 
ID_Tip_Intruziune 
Mesaj_Eveniment_Original 


Tabel_Senzori 


ID Senzor 


Tabel IP. Host Tabel FODN Host 

PK |ID IP Host PK | ID FQDN Host 
Adresa IP FQDN 
Tabel Host 


ID Host 


ID IP Host 
ID FQDN Host 


Tabel Tip. Senzor 


ID Tip Senzor PK 


ID Tip Senzor 


ID Host 
Info 


Desc Tip Senzor 


Figura 4.6 - Structurile de date ín mesajul de format generic 


Tabelele implicate in construirea unui mesaj de format generic sunt urmátoarele: 
Tabelul cu statii (host table) descris anterior 


Tabelul cu senzori — acesta are rolul de a identifica fiecare senzor din sistemul 
monitorizat. Fiecărui senzor îi este atribuit un ID unic si un tip. Alte date 
optionale pot fi token-ul de statie si o descriere a senzorului. 


Tabelul tipului de senzor — acesta are rolul de a oferii detalii pentru fiecare tip de 


4.6. Analiza datelor 


senzori 


Tabelul tipului de mesaj — acesta contine descrierea pentru fiecare identificator 


de tip de mesaj 


Tabel cu intruziuni — acesta ofera identificarea pe baza unor referinte multiple a 
genului de atac. De exemplu, BID (for BugTraq), CVE ID (for CVE) [CVE--]. 
Tabel tip intruziune — acesta defineste clasele de familii de intruziuni majore cum 
ar fi: filtrare, scanare, finger printing, acces, etc. 


Operatiile principale efectuate pentru generarea alertelor sunt: corelatia, analiza 
structuralá, analiza functionalá si analiza comportamentului. 


Corelatia este o operatie de sine státátoare pe baza cáreia se creeazá contexte care 
vor oferi suportul unei analize ulterioare, pentru a verifica dacá aceasta prezintá 
caracteristicile unei incercári de intruziune [PPNO6-04]. 
Analiza structuralá este in esentá un proces avansat de tip "pattern matching" 
utilizat pentru a determina daca evenimentele dintr-un anumit context conduc 
cátre o cale de intruziune cunoscutá, referiti adesea si ca arbori de atac 


[Mau05]. 
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e Analiza funcţională va oferi informaţii despre expunerea sistemului ţintă la 
încercarea de intruziune detectată. 

e Analiza de comportament va integra elemente din politica de securitate pentru a 
determina dacă încercarea de intruziune este de fapt o acţiune permisă. 


Obiectivul acestor operaţii este de a genera alerte care nu doar verifică calea 
structurală de intruziune (de exemplu: scan, finger printing, exploatări, backdoors, etc.), 
dar care iau în considerare şi politica de securitate definită, precum şi importanța 
sistemelor ţintă [Cla09]. 


4.6.1 Corelatia 


Corelatia se defineşte ca fiind o relaţie cauzală, complementară, paralelă, sau 
reciprocă, ce vizează o corespondenţă structurală, funcţională sau calitativă între două 
entități comparabile. [PPN06-04] 


În cazul arhitecturii de monitorizare a securităţii, corelatia are rolul de a valida 
evenimentele de securitate colectate, cât şi de a ajuta în procesul de identificare a 
originii, magnitudinii şi impactului unei intruziuni, prin efectuarea analizei secventelor de 
evenimente şi generarea de alerte simple, sintetizate şi precise. Pentru aceasta este 
necesar a se efectua următoarele operaţii [PPNO6-04]: 

e Identificarea duplicatelor - constă în identificarea evenimentelor duplicate si 
etichetarea acestora pentru eficientizarea procesării, simplificând analiza 
efectuată de aplicaţii sau personal. 

e Pattern matching secvențial - reprezintă operaţia de bază a modului de corelare 
şi constă în identificarea unei secvenţe de mesaje care ar fi caracteristică unei 
încercări de intruziune. Această operaţie permite identificarea intruziunilor în 
curs de desfăşurare, precum şi scenariilor de intruziune complexe. 

e Pattern matching temporal - utilizat în principal pentru managementul 
contextului, precum şi identificarea proceselor de intruziune distribuite sau care 
se desfăşoară pe o durată extinsă. 

e Analiza expunerii sistemului si a severitátii - oferă informaţii despre 
vulnerabilitátile sistemului ţintă pentru detectarea încercărilor de intruziune. Spre 
exemplu, arhitectura de monitorizare a securităţii nu va genera alarme în 
legătură cu scenarii de intruziune bazate pe vulnerabilitáti la care sistemul ţintă 
nu este expus. Un alt element important îl constituie severitatea intruziunii si 
anume impactul general asupra sistemului monitorizat. Aceasta ajuta la o mai 
bună stabilire a prioritátilor în cazul în care trebuie să se răspundă simultan la 
mai multe incidente. 

e Verificarea conformárii cu politica de securitate - reprezintă un filtru bazat pe 
comportament pentru eliminarea evenimentelor specifice în cazul în care 
acestea sunt conforme cu criteriile politicilor de securitate (log-in administrator, 
autorizare, restricții). 
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Figura 4.7 - Principalele operatii de analiza 
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4.6.1.1 Contexte de corelatie 


Pentru o identificare mai eficientá a evenimentelor care apartin aceluiasi scenariu de 
intruziune, se utilizeazá tehnica corelárii pe bazá de context. Aceastá tehnicá are la 
bazá o structurá specifica denumita context, iar toate operatiile de corelare sunt 
efectuate pe baza acestor structuri. Implementárile care utilizeazá aceastá tehnicá de 
corelare vor avea si o ratá de alarme false mai scázutá [PPNO6-04]. 


Definitie: un context este o structurá de date in care elementele membru satisfac un 
criteriu dat. De exemplu, contextul de tip destinatie pentru statia A va contine toate 
staţiile X4, X», .. Xn pentru care există evenimente, unde X; i=1,n este sursă iar A este 
destinatie. 


Astfel oricare mesaj stocat in baza de date cu mesaje va face parte din unul sau mai 
multe contexte. Operatiile de corelare se vor efectua in paralel, astfel incát sá ruleze 
simultan pentru fiecare context. Se pot implementa urmátoarele tipuri de management 
al contextului [Pie08]: 
e Contexte independente şi distincte - fiecare context va contine mesaje specifice 
fiecărui criteriu. O astfel de arhitectură va fi numită şir de contexte. 
e Contexte ierarhice - se definesc contextele de nivel superior care se potrivesc 
unui număr limitat de criterii, apoi se creează sub-contextele pe baza diferitelor 
criterii, rezultând astfel un arbore de contexte. 


In practică datorită cerințelor de performanţă şi funcționalitate se va evalua eficiența 
fiecăreia dintre cele două abordări. In multe cazuri se va utiliza o arhitectură mixtă, care 
îmbină cele două abordări. 


4.6.1.2 Definirea contextului 


Criteriul de definire al contextului trebuie făcut în conformitate cu evenimentele de 
securitate la care arhitectura de monitorizare va trebui să răspundă (operaţii de 
scanare distribuită, finger printing, volum mare de încercări de exploatare, încercări de 
tip “brut force”, spamming, etc.). O arhitectură funcţională a contextelor este prezentată 
în figura 4.9. 


Un prim criteriu este combinaţia ID staţie atacată, ID stație atacatoare [Gre99]. 

e Sursa - prin definirea sursei drept criteriu de creare a contextelor, se vor putea 
detecta sondări de tip ping, sistemele intermediare folosite de atacatori sau 
compromise de viermi 

e Destinatie - contextele create pe criteriul destinaţie vor oferi informaţii despre 
scanări (fie ele distribuite normal sau desfăşurate pe o durată extinsă) şi vor 
permite observarea încercărilor de intruziune precum şi a celor reuşite. 


Se vor defini două şiruri de contexte, unul cu context (potrivire) pe sursă, iar celălalt cu 
context pe destinaţie. Fiecare context al fiecărui şir va fi apoi considerat drept context 
rădăcină pentru arborii de context. Criteriile pentru potrivire către ramurile cele mai 
mici ar fi: 

e Token ID destinatie (pentru contextele create prin potrivirea ID-ului sursá) sau 

e Token ID sursa (pentru contextele create prin potrivirea ID-urilor destinatie). 


Pe durata procesárii datelor, protocoalele si porturile sistemelor destinatie vor forma 


132 


criteriul nivelului urmátor al ramurilor de context. Aceasta se va efectua pentru izolarea 
operatiilor singulare de scanare dintr-un sir masiv repetat de incercári de compromitere 
a sistemului printr-o aplicatie specificá. In plus, aceasta permite si identificarea diferitilor 
pasi ai intruziunii. 


Unul din scenariile de intruziune des íntálnite este scanarea porturilor urmatá de 
identificarea versiunii pentru porturile deschise (fingerprinting), dupa care este lansata 
exploatarea asupra sistemelor ce se presupun a fi vulnerabile [Nma--]. 


Pentru a identifica tipul de mesaj stocat, ce permite totodata efectuarea unei analize cat 
mai precise a mesajelor, se efectueazá generarea unui context de nivel urmátor pe 
baza ID-ului tipului de intruziune. Un exemplu de definire a ID tip intruziune este 
prezentat in tabelul 4.8. 


ID Tip Intruziune Desc Tip Intruziune 
0 / Necunoscut Intruziune necunoscuta 

Sectiunea 1xx - Identificare Identificare tinta 

100 / Filtrare Pachete filtrate de firewalls, ACLs, 
etc 

110 / Scanare de Baza Scanare de porturi 

120 / Fingerprinting Identificare tinta 

Sectiunea 2xx - Exploatare Grup de incercari intruziune 

200 / Exploatare Lansare exploatare 

Sectiunea 3xx - Denial of Service Atacuri DOS cu succes 

(DOS) 

300 / Denial of Service Atac DOS patial 

310 / Denial of Service Atac DOS global 
Incercari de evitare a politicii de 

Sectiunea 4xx - Evitare Securitate securitate 

400 / Spoofing IP / MAC spoofing 

410 / Continut Evitare filtare de continut 

420 / Privilegii Incercari elevare privilegiu 
Incercari de compromitere a sistemului 

Sectiunea 5xx - Compromitere Sistem tinta 

510 / Accesare Cont Succes accesare cont 

520 / Eroare Acces Date Incercari de acces la date private 

530 / Integritate Compromitere integritate sistem 


Figura 4.8 - ID tip intruziune 


Ultima ramurá a contextelor contine ID-ul specific de intruziune (caracterizarea fiecárui 
mesaj). La acest nivel se realizeazá la o dimensionare atomicá a fiecárui mesaj. Acest 
camp face referinta la tabelul de intruziune si va fi responsabil pentru legatura intre 
motorul de corelare si informatia de stare a sistemului stocat in baza de cunostinte. 


4.6.1.3 Organizarea contextelor 


Deoarece fiecare operatie de corelare este efectuatá in mod exclusiv pe contexte, 
structura acestora reprezintá una dintre cele mai importante aspecte ale arhitecturii de 
monitorizare. 


133 


Arhitectura functionala este descrisa in paragraful precedent si este constituita dintr-un 
sir de arbori de contexte. Fiecare arbore contine patru nivele de ramuri dupá cum este 
prezentat in figura 4.9. 


Sir de contexte sursă 


ID Host Sursa 
| 


ID_Host_Destinatie | D Host Destinatie 


| D Host Destinatie 


= === 


Protocol. Protocol. Protocol. 
Port_Destinatie Port_Destinatie Port_Destinatie 


ID_Tip_Intruziune ID_Tip_Intruziune ID_Tip_Intruziune|  |ID_Tip_Intruziune 


ID Intruziune | ID Intruziune ID Intruziune | ID Intruziune | ID Intruziune 


Figura 4.9 - Arhitectura functionala a contextelor 


4.6.1.4 Structuri de date pentru contexte 


Pentru o functionare corespunzátoare a arhitecturii definite anterior va fi necesará 
implementarea unei structuri care va asigura accesul la informatii si stocarea 
corespunzátoare. Figura 4.10 descrie o schema de implementare a contextului utilizand 
notatii specifice Perl. 


Exemplu de implementare defineste urmátoarele cámpuri: 

e Timp start si timp stop - aceste câmpuri se vor găsi în fiecare ramură a 
structurii de context şi oferă informaţii despre timpul de generare al primului şi 
respectiv ultimului mesaj asociat acelui subarbore 

e Numărul de mesaje duplicate (no duplicate). Mesajele duplicate contin aceleaşi 
informaţii cu excepţia câmpului de timp. 


Celelalte câmpuri se regăsesc în structurile de date asociate mesajului de tip generic şi 
care au fost prezentate în figura 4.6. 
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Tabel Host 


sursa Adresa tabela hash atac 


$SurseAtac{$sursa} 


dest Adresa tabela hash atac 
timp_ start Prima receptie 
timp_stop Ultima receptie 


${$SurseAtac{S$sursa}} (Sdest] 


proto,tgt_port ID(protocol, dest. port) 


Tabel Tip Intruziune 


timp start Prima receptie 
timp stop Ultima receptie 
0 Adr. Intr. clasa "Necunoscute" 
100 Adr. Intr. clasa “Filtrate” 


T 
1 
H 
H 
H 
H 
i 
4 

m 


Intr. clasa “Integritate” 


${{$SurseAtac{$sursa}}{S$dest}}[S$tip_intr] 


id info atac Adr. tabel hash info. atac 
timp start Prima receptie 
timp stop Ultima receptie 


Cn 
e 
e 


id tip intruziune ID intruziune 

duplicat Info. duplicat 
timp start Prima receptie 
timp stop Ultima receptie 


Figura 4.10 - Scheme de implementare a contextelor [Gan08] 


4.6.1.5 Starea contextelor 


O altă importantă caracteristică a contextului o reprezintă starea acestuia. 


Se definesc următoarele trei tipuri de stare [Mul09]: 


Activă - contextul se potriveşte unui criteriu specific (de exemplu cel bazat pe 
timp), care poate fi caracteristic unui proces de intruziune în curs de 
desfăşurare. In mod uzual astfel de context va fi folosit pentru procesarea unui 
volum mare de date odată cu sosirea unui nou mesaj, iar analiza acestuia, 
efectuată de motorul de corelare, va trebui efectuată cu cea mai ridicată 
prioritate posibilă. 

Inactiv - un astfel de context fie nu îndeplineşte criteriul “activ” sau nu a 
recepționat codul specific de închidere. Aceasta înseamnă că nu este supus 
analizei de către motorul de corelare, dar va putea fi reactivat de următorul 
mesaj care se potriveşte criteriului de context. 

Închis - în această stare contextul este încheiat. Orice nou mesaj care potriveşte 
contextual va crea un nou context. 
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{ Mesaj Nou ) 


C Mesaje Noi — Activ Inactiv 


d Pauza 


N 
Y 


( Cod Incheiere ) 


= 


Inchis 


Figura 4.11 - Diagrama stărilor contextului 


4.6.2 Analiza structurală 


Analiza structurală constă într-un set de operații efectuate pe fiecare context de către 
module independente, si are scopul de a identifica încercările de intruziune in curs de 
desfăşurare, de management al stării de context şi a condițiilor de încheiere a 
contextelor. Fiecare modul este activat de un mesaj specific si realizează analiza 
utilizând o semantică standard [Hou95]. 


Analiza structurală se bazează pe un set de operatori, iar modulele de analiză 
generează rezultatele pe baza operatiilor logice între condițiile autonome si câmpuri din 
contexte. 


Activarea modulelor de analiză se poate efectua după [Dou93]: 

e Mesaje - anumite condiții de câmp trebuie îndeplinite pentru activarea modulului 
de analiză. Un antet conținând condiţiile de câmp ce trebuie îndeplinite este apoi 
generat pentru fiecare modul de analiză. Considerând structura modulului de 
analiză, antetul va fi un set de operații logice de tip SAU, ai cărei membri vor fi 
condiții de câmp ce necesită cel mai mic număr de resurse pentru a fi evaluate. 

e Timp - antetul modulului de analiză poate contine informații de timp pentru a 
determina evaluarea corelatiei. Aceasta este în principal utilizată pentru 
închiderea contextelor si detectarea intruziunilor desfăşurate pe o durată mare 
de timp cum ar fi scanári de porturi încetinite si atacuri de tip “brut force”. 


4.6.3 Analiza funcţională 
Se efectuează pentru evaluarea expunerii sistemului la intruziune şi a impactului 
general al unei astfel de intruziuni asupra sistemului monitorizat 


Odată ce analiza structurală oferă informaţii despre încercarea de intruziune în curs de 
desfăşurare, se face o cerere către secţiunea din sistemul K cu “Starea curentă de 
securitate a clientului”. Această cerere conţine ID-ul intruziunii şi token-ul staţie al 
sistemului ţintă. Răspunsul va conţine următoarele informații: 
e Severitatea - o valoare dintr-o scară arbitrară cum ar fi: info, warning, minor, 
major, critical, etc. 
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e Cod de încheiere - dacă contextual urmează să fie închis (de exemplu tinta nu 
este afectată de încercarea de intruziune) 

e Mesaj - un mesaj nou formatat care va fi adăugat la contextual actual, în acest 
fel putându-se activa module de analiză suplimentară. 


4.6.4 Analiza de comportament 

Determină dacă încercarea este conformă politicii de securitate. Acest gen de analiză 
se va utiliza pentru managementul accesului la conturi, dar poate fi implementată şi în 
cazul auditărilor scanărilor de porturi. Intr-o astfel de situaţie un cod de încheiere este 
trimis către context. In mod tehnic, această analiză se va efectua în mod similar celei 
structurale - prin intermediul unor module specifice a căror structură este încărcată din 
secțiunea „Politici de securitate” a sistemului K. 


4.7 Raportarea şi răspunsul la incidente 


Pentru arhitectura de monitorizare a securităţii prezentată în figura 4.3 se regăsesc 
două interfeţe utilizator: consola arhitecturii de monitorizare (disponibilă furnizorului de 
servicii) şi portalul pentru client (cu informaţii specifice despre activitatea şi starea 
infrastructurii clientului monitorizat). 


4.7.1 Consola arhitecturii de monitorizare 


Consola arhitecturii de monitorizare (sisteme R) este destinată analizei interne, 
accesului la datele neformatate din diferite sisteme ale arhitecturii cum ar fi: K şi D. 
Consola are în principal trei clase de interfeţe: 

e Interfaţă de monitorizare în timp real - oferă acces direct la datele din mesajele 
stocate pe sistemele stocate D. Aceasta permite funcţii generice de filtrare de 
tipul “grep” pentru izolarea anumitor mesaje şi este utilizată pentru analiza în 
detaliu a unor evenimente specifice şi a răspunsului la acele evenimente. 

e Interfața de răspuns la incidente - este motorul intern folosit pentru generarea şi 
actualizarea înregistrărilor incident şi a procedurilor de răspuns descrise mai jos. 
Interfața oferă informaţii detaliate de alertă precum şi date de depanare. Aceasta 
este o interfață de complexitate ridicată deoarece trebuie să adreseze aspecte 
de performanţă operaţională, ergonomicitate, filtrare avansată, identificare şi 
căutare. Una din cerințele de bază este în a asigura suport pentru un răspuns 
eficace şi eficient la intruziuni. 

e Interfata pentru analiză statistică - oferă acces la datele sursă ale activităţii de 
securitate pe termen scurt cât şi evoluţia pe termen mai lung. Aceste date vor fi 
utilizate în special pentru reprezentări grafice. 


4.7.2 Portalul pentru client 


Portalul clientului oferă date formatate despre activitatea de securitate. Acesta este 
proiectat pentru a oferii rapoarte pe mai multe nivele destinate atât inginerilor de 
securitate cât şi managementului din organizaţia clientului. Portalul este alcătuit din trei 

porţiuni: 
e Interfata de evaluare continuă a riscului - oferă informaţii despre nivelul curent 
de securitate al sistemelor şi versiunilor de software monitorizate (nivelul general 


137 


de securitate, caracteristicile si nivelul critic al vulnerabilitátilor, scenarii de 
intruziune si detalii de configurare si patching). 

e Activitatea de securitate - prezintă rapoarte de evoluţie pe termen mediu si lung 
legate de tipuri de intruziune, frecvente, surse, consecinte asupra sistemelor 
monitorizate. Activitátile pe termen scurt pot fi folosite in suportul identificárii 
surselor recurente de atac sau a serviciilor urmárite cu precádere de atacator, 
pentru a elabora sau reevalua controalele de securitate asociate acestor 
aspecte. 

e Starea de securitate - permite accesul la incidentele in curs de desfăşurare, 
sistemele atacate si a cáilor de intruziune activate de atacatori. Interfata ofera 
informatii despre procedurile de ráspuns si escaladare disponibile la momentul 
respectiv pentru contracararea atacului. 


4.7.3 Procedurile de ráspuns si escaladare 


Ráspunsul la un atac reprezinta setul de proceduri si másuri organizatorice care trebuie 
aplicate de echipele de ráspuns la incident. Ráspunsul poate varia de la o monitorizare 
pasiva pentru a colecta informatii suplimentare pana la oprirea in sistem de urgenta a 
sistemului monitorizat si raportarea incidentului cátre CERT. [Cer--]. Scenariile de 
ráspuns si procedurile din documentatie vor fi validate si vor fi securizate, in principal in 
termeni de integritate. 


Nivelele de escaladare (raportarea si solicitarea implicárii nivelului imediat urmátor) 
trebuie definite pentru a asigura o reactie rapida si eficace, in paralel cu utilizarea 
corespunzátoare a resurselor umane disponibile. Un alt aspect ce trebuie mentionat 
este întârzierea (timpul Timi, figura 4.12) dupa care procedura de răspuns trebuie 
initiata in conformitate cu nivelul de severitate a atacului. 


Odată ce aceasta întârziere este consumată, escaladarea către nivelul următor - 
raportarea şi implicarea managementului - se va produce în mod automat. 


Procedura de escaladare este prezentată în Figura 4.12 şi defineşte trei nivele de 
escaladare după cum urmează: 

e Nivelul 1 - personalul tehnic de nivel mediu, care este capabil să înțeleagă şi sa 
interpreteze evenimentele generate de sistemele A, precum şi aplicarea 
procedurii de răspuns. Agenţii raportează incidentele către nivelul 2 în cazul în 
care evenimentul observat este unul necunoscut, reacția predefinită este 
nedocumentatá, sau timpul limită Tue (timpul alocat pentru rezolvarea 
incidentului la nivel1) este depăşit. 

e Nivelul 2 - personalul tehnic de nivel expert. Aceşti experti sunt responsabili 
pentru analiza evenimentelor de intruziune noi. Prioritatea acestora este de a 
stabili nivelul de severitate a intruziunii, şi a oferi o soluţie de moment pentru 
agenţii de la nivel 1, precum şi de a continua cercetarea şi identificarea unei 
soluții permanente post incident. 

e Nivelul 3 - ar trebui să fie un laborator în care pachetele suspecte, operațiile 
efectuate de sisteme, vor fi reproduse pentru a determina natura noului tip de 
intruziune şi de a oferi o procedură de răspuns complet elaborată. Laboratorul 
va fi responsabil cu contactarea furnizorilor sistemelor de operare, aplicaţiilor, 
hardware-ului, pentru proiectarea patch-ului. 
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Alertà intruziune 


Sistem A 


Creaza tichet incident 
T=tp 
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a alertei 
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Analiza aprofundata 


Solutie 
identificata 


Experti de securitate 


Echipa de securitate de nivel 2 
Analisti de securitate 


Solutie de temporara 
de urgenta 


Echipa de securitate de nivel 1 


Initiere raspuns 


Simulare si testare Închide tichet incident 
Definire răspuns specific Urmărire sursă atac 
pt. noul tip de intruziune Raportare incident la CERT 


Testare/Documentare 


Echipa de securitate de nivel 3 


Figira 4.12 - Procedura de escaladare 


4.8 Riscuri şi ameninţări la adresa arhitecturii de monitorizare 


Pentru a creşte gradul de complexitate al atacului, atacatorul va căuta să-şi menţină 
gradul de anonimat, să evite detecția sau, în cel mai bun caz, să pară normal. In caz ca 
nu reuşeşte, atacatorul va căuta să degradeze sau să stopeze colectarea de evidente, 
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fapt care va complica investigatiile de dupa incident. Practica a arátat ca atacatorii 
exploateazá in esenta consecintele unui management deficitar si lipsa de experienta. 


4.8.1 Mentinerea gradului de anonimat 


Indiferent de faza de compromitere a victimei, atacatorul va cáuta intotdeauna sá-si 
pástreze gradul de anonimat. Atacatorii cautá sá rupá orice legáturá ce se poate stabili 
intre statia de la care au lansat comenzile si victimele atacurilor. Modalitatile prin care 
atacatorul îşi poate menţine un grad ridicat de anonimat sunt [PPNO6-02]: 


Lansarea atacurilor de pe stații deja compromise, pentru care nu există o afiliere 
directă cu atacatorul. Atacurile complexe realizează fiecare etapă de 
compromitere utilizând diferite adrese IP sursă, singurul numitor comun în acest 
caz fiind adresa IP destinaţie. Apărarea are două metode la dispoziţie pentru a 
rezolva ecuaţia anonimatului: 
e conlucrarea cu administratorii maşinilor folosite în atacul asupra victimei 
finale 
+ penetrarea maşinii de pe care s-a generat atacul (reverse hacking), dar care 
nu se recomandă deoarece penetrarea altor sisteme este ilegală conform 
multor legislații, chiar dacă se face în scopul de autoapărare. 
Atacuri prin utilizarea de adresă sursă modificată (spoofing). Desi multe 
implementări TCP/IP prezintă o predictibilitate în ceea ce priveşte alocarea 
numerelor de secvenţă lipsa unor atacuri, care să utilizeze această caracteristică 
a determinat experţii în domeniu să concluzioneze atacurile de tip Mitnick - cu 
adresă IP modificată şi determinarea numerelor de secvență TCP are 
probabilitate scăzută. Atacurile frecvente care folosesc adrese spoofed sunt cele 
de tip DoS, în care nu se încheie negocierea completa pentru stabilirea sesiunii. 
In ultimii ani s-a observat că atacatorii au folosit din ce în ce mai puţin adrese 
sursă IP modificate. O motivaţie ar fi faptul că din ce în ce mai multi utilizatori 
utilizează conexiuni broadband, ceea ce face ca atacatorii să aibă o bază mult 
mai mare de victime [Ver1 1]. 
Atacuri dintr-un alt bloc de retea. Atacatorii elevati, familiarizati cu BGP (border 
gateway protocol) pot incerca publicarea propriilor rute pe durata atacurilor, 
beneficiind de filtrarea necorespunzátoare a ruterelor la nivelul furnizorului de 
servicii. 
Atacuri declanşate de pe o staţie de încredere pentru victimă. În general, 
această tehnică exploatează încrederea acordată unei alte staţii sau grup de 
stații. 
Atacuri dintr-un bloc de rețea familiar. Atacurile declanşate de pe o stație din 
acelaşi oraş sau aceeaşi tara pot scăpa neobservate utilizatorilor si analistilor. 
Atacul asupra clientului si nu a serverului. Această tehnică se bazează pe faptul 
că conexiunile către exterior sunt mult mai puțin verificate decât conexiunile 
către interior. Atacarea clientului presupune oferirea unui serviciu malitios si 
aşteptarea clienților vulnerabili (potentialele victime să se conecteze la servere). 
Utilizarea de intermediari publici. Această tehnică este utilizată după ce una din 
metodele anterioare a compromis victima, în special pentru comunicarea între 
atacatori si victimă. Actualmente, majoritatea atacatorilor preferă să controleze 
victimele prin intermediul canalelor IRC sau rețele P2P. 
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4.8.2 Evitarea detectiei 


Tehnicile prin care atacatorul cautá sa-si pástreze anonimatul sunt relativ simple, in 
marea majoritate bazándu-se pe o altá statie care sá conducá defensiva cátre piste 
false. Aceste tehnici nu-l fac pe atacator invizibil, ci doar mai greu de depistat [Mat1 1]. 
Dintre cele mai semnificative tehnici se amintesc: 

e Coordonarea în timp a atacului. Pentru atacator timpul poate fi un aliat foarte 
bun. Sondarea victimei la intervale suficient de mari poate fi confuză şi trece 
neobservată. Apărarea ar trebui să gândească acest tip de problemă în acelaşi 
fel ca şi tehnicile de păstrare a anonimatului: orientarea către victimă. 

e Distribuirea atacurilor în întreg spațiul de adrese IP. Distribuţia temporală a 
traficului de atac, este adesea însoţită şi de o distribuție spaţială în Internet. 
Tehnicile distribuite au devenit populare odată cu atacurile DDoS. 

e Utilizarea criptării. Atacatorul poate folosi criptarea pe durata diferitelor faze ale 
compromiterii, dar în limitele stabilite de victimă (pe durata recunoaşterii, 
exploatării atacatorul este limitat la metodele de criptare oferite de staţia ţintă). 
Această tehnică devine din ce în ce mai interesantă pentru atacatori, deoarece 
un număr din ce în ce mai mare de servicii oferă criptare. Exemple de servicii 
care utilizează mecanisme de criptare şi care ar putea fi compromise de 
atacatori ar putea fi: HTTPS, secure pop (port 995), SMTP peste TLS, open 
SSH, etc. 


4.8.3 Generarea de trafic normal 


Dacă activitatea atacatorului se înscrie în caracteristicile utilizatorului legitim, 
descoperirea incidentului este dificil de realizat. Două tipuri de atacatori sunt extrem de 
dificil de detectat: utilizatorii interni şi impersonarea unui utilizator legitim (atacatorul 
care a reuşit să obţină un cont şi o parolă care îi permite accesul la informaţia care o 
doreşte). O metodă eficientă de combatere a impersonării o reprezintă utilizarea 
autentificării pe bază de doi factori: parolă şi token. Comportarea normală a 
atacatorului este necesară mai ales în cazul penetrării site-urilor monitorizate de 
sisteme IDS bazate pe anomalii. Cu cât comportamentul atacatorului este în limitele 
utilizatorului normal, probabilitatea de a genera o alertă este scăzută [Gu07]. 


4.8.4 Degradarea sau stoparea procesului de monitorizare 


Reprezintă o altă modalitate de a exploata produse (atacarea senzorilor sau 
dispozitivelor de colectare şi ştergerea informaţiilor de jurnalizare), persoane (activităţi 
de diversiune pentru a distrage atenţia personalului ce efectuează analiza) sau procese 
(separarea fizică a analistului de consolă) în scopul perturbării operaţiilor arhitecturii de 
monitorizare. 


Diversiunile pot urmări atât intoxicarea cu trafic prefabricat, cât şi crearea unui volum 
mare de alerte. Atacurile de volum sunt cel mai adesea cauzate de alegerea ineficientă 
a semnáturilor IDS, şi generează probleme datorită timpului şi efortului necesar 
investigării tuturor alertelor. 


Atacurile asupra senzorilor se desfăşoară în două etape. În prima se urmăreşte 
identificarea adreselor IP care efectuează monitorizarea traficului, iar apoi se 
declanşează atacul propriu-zis. 
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Una din putinele posibilitáti pe care atacatorul le are sa detecteze senzorii il reprezinta 
exploatarea serviciului DNS. Presupunánd cá atacatorul are vizibilitate sau controlul 
asupra serviciului DNS pentru un anumit bloc de retea, acesta poate trimite pachete de 
sondare in care adresa IP sursa este asociatá cu serverul DNS respectiv. Daca 
senzorul este configurat sá rezolve adresele IP din pachetele receptionate, va 
transmite cereri cátre serverul DNS care sunt interceptate de atacator. Metode mai 
eficiente pentru detectia sistemelor ce functioneazá in regim de monitorizare sunt 
bazate pe protocolul ARP [San01], si presupun accesul la segmentul LAN in care 
senzorul este plasat. 


Atacurile asupra senzorului pot fi de tip: [CVE--] 
e DoS - vizeazá resursele senzorului cum ar fi CPU, memoria, disc, banda 
e Exploatari de vulnerabilitáti în aplicaţiile de monitorizare rulate pe senzori 


Atacurile indreptate asupra procesului urmáresc atat culegerea de informatii despre 
personal si echipamente utilizând mijloace specifice ingineriei sociale, cát si 
perturbarea activitatii in locatia unde se desfásoará monitorizarea (Centrul Operational 
de Securitate) prin mijloace specifice de diversiune cum ar fi de exemplu alarme de 
incendiu, amenintári cu bombe, etc. Solutia pentru astfel de situatii o reprezintá o 
politica riguroasá de revizuire a alertelor. Un politica de monitorizare solida se bazeazá 
pe principiul ráspunderii analistului pentru tratarea fiecárei alerte generate. 


4.8.5 Probleme organizationale 


Ín ciuda tuturor atacuri de naturá tehnicá amintite anterior, problema majorá in 
operarea unei arhitecturi de monitorizare graviteazá in jurul personalului si proceselor. 
Verificarea si motivarea personalului, pregátirea profesionalá continuá sunt aspecte pe 
care managementul trebuie sá le considere pentru a asigura succesul operational al 
arhitecturii de monitorizare. 
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Motto: Toate adevárurile sunt usor de inteles odata ce au fost descoperite. 
Problema este sa fie descoperite. 
- Galileo Galilei 


CAPITOLUL 5 


MONITORIZAREA SECURITÁTII IN CONDITII DE 
INCERTITUDINE 


Prin activitátile care le desfasoara in etapele premergatoare, cát si pe durata unei 
intruziuni, atacatorii pot folosi tactici specifice confruntarilor din spatiul militar pentru 
inducerea in eroare a sistemelor de detectie avánd ca rezultat date de monitorizare 
incerte, si confuze. O serie de actiuni pe care atacatorul le poate intreprinde pentru a 
diminua calitatea datelor de monitorizare au fost prezentate in sectiunea 4.8, si este de 
asteptat o diversificare si rafinare pe viitor a acestor tactici (diversiune, dezinformare, 
camuflaj, etc.) [Mat1 1]. 


in plus, transpunerea a tot mai multor activitáti umane in spatiul virtual, conjugatá cu 
dinamica schimbárilor de ordin tehnologic, va determina o complexitate crescuta a 
arhitecturilor IT si a proceselor de management asociate acestora. Conform principiului 
incompatibilitátii dintre precizie si complexitate, care se manifesta puternic la sistemele 
umanoide [Zad86], este de asteptat ca, in ceea ce priveste managementul securitátii, 
aceastá complexitate sá se traducá prin disponibilitatea unei mase mari de date si 
informatii, dar care va avea un continut din ce in ce mai ridicat de imperfectiune. 


Capitolul de fata isi propune realizarea unui experiment de monitorizare securitatii pe 
baza de evenimente generate de surse (IDS) ce nu prezinta confidenta deplina asupra 
celor raportate. Metodologia utilizatá in acest sens cuprinde urmátoarele elemente: 
cercetarea cauzelor de imperfectiune a datelor, identificarea unor modele matematice 
ce pot adresa date imperfecte, construirea modelului experimental si a aplicatiei de 
experimentare, realizarea experimentului si interpretarea rezultatelor obtinute, concluzii 
si directii ulterioare de experimentare. 


5.1 Categorii de imperfectiune a datelor 


Imperfectiunea datelor, trebuie încorporată in sistemele ce încearcă sa ofere o 
modelare cât mai corectă a realităţii. Acest lucru este însă greu de realizat prin 
utilizarea soluţiilor actuale oferite de sistemele de management a informaţiilor. Un motiv 
major ar putea fi găsit în dificultatea înţelegerii diferitelor aspecte ale imperfectiunii si a 
reprezentării cunoştinţelor imperfecte. 


Datele se consideră perfecte atunci când sunt precise şi sigure. Principalele cauze ale 
imperfectiunii sunt [5me96]: 
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e  Imprecizia — acoperă aspectele legate de conținutul datelor cum ar fi: 
proprietatea, raportarea la lumea externá, neglijenta, etc. 


e [nconsistenta — acoperă aspectele legate de contradictii, incoerentá, etc. 
e /ncertitudinea — este determinată de lipsa datelor şi unele aspecte legate de 
imprecizie 


Pe baza clasificării lui Smet [Sme96], a imperfectiunii informaţiilor, se identifica 
următoarele aspecte ale imperfectiunii datelor în sfera monitorizării securităţii: 


Cauza Clasa Caracteristica Descriere Exemplu 
E Alarme generice ale 
Poate avea mai multe 
Ambigue : we sistemelor IDS (ce nu 
interpretári ; S 
izoleazá cauza) 
Date Sgr z 
Anumite părți din date | Documentarea incompletă a 
neafectate Incomplete Sarn Bech 
earn | lipsesc unui incident anterior 
Anumite parti de date | Sisteme introduse incomplet 
Deficiente esenţiale procesării în baza de cunoştinţe 
lipsesc 
E Neconformitate cu Alerte IDS false (false 
Invalide ; Ss 
Imprecizie realitatea positives) 
Date incorecte sau Trafic injectat de atacator 
Incorecte : 
Date greşite : 
afectate Date ce nu respectă | Trafic de atac la 
de erori Fără sens specificațiile implementările de protocol 
protocoalelor 
; ; Gresit dar nu departe | Rapoarte de stare ce iau în 
Distorsionate = à 
de adevár calcul date incorecte 
Bazate pe ; Reguli de detectie incorecte 
: Datorate unei erori i 
premise 
. sistematice 
incorecte 
Un sistem de detectie 
Concluzii diferite pe | 9enerează alerte, în timp ce 
Incoerente altul, având acelaşi câmp de 
baza datelor eg See 
vizibilitate, nu indica 
probleme. 
; 8 S Monitor care la anumite 
Inconsistentá Date ; Incoerenta cu : 
Inconsistente ; " intervale regulate nu 
conotatie temporalá x 
i raporteazá starea. 
Cazul procesul de analiză a 
Conflictuale Incompatibilitate între | evenimentelor în care 
date entități de date par imposibil 
de a coexista. 
Date Obiectivă Legată de realitate şi | Posibilitatea unui atac 
de date asupra organizației 
In evaluarea unei intruziuni 
Ch ; în curs de desfăşurare, 
Opinia ageniului agentul (analist de securitate 
Incertitudine expert legată de A aplicatie) poate 
Agent Subiectivă validitatea datelor o d : 
determinată pe baza considera aie e prezentate 
informatiilor existente ca prona, E HES 
i posibile, nefiabile, or 
nerelevante. 


Tabelul 5.1 — Categorii de imperfectiuni a datelor procesul de monitorizare a securității 


Teoriile tradiționale de tratare a informaţiilor imperfecte (cum ar fi teoria clasică a 
probabilităților), au limitări în ceea ce priveşte adresarea cazurilor complexe, cum ar fi 
de exemplu cele cu un grad ridicat de informaţie vagă, nesigură, imprecisă, ambiguă şi 


144 


conflictualá, iar multitudinea de preocupári in zona modelárii imperfectiunii (teoria 
posibilitatilor bazate pe seturi fuzzy, teoria evidentelor, teoria probabilitátilor imprecise, 
etc.) reflecta recunoasterea asupra dimensiunilor multiple ale imperfectiunii. 


Avánd in vedere modul de generare a evenimentelor de securitate de cátre sistemele 
de detectie a intruziunilor (pe baza unor evidente sau indicatori observati in traficul de 
date, fisierele de jurnalizare, starea sistemului, etc.), precum si parametrul utilizat 
pentru evaluarea calitátii alertelor generate (rata de alarme false, sau nivelul de 
încredere in alerta generată), se alege teoria evidențelor pentru modelarea 
imperfectiunii datelor ce vor fi evaluate în cadrul experimentului. 


În contextul teoriei evidenţelor, rezolvarea unei probleme de fuziune (combinare a 
informaţiilor de alertă având ca scop o estimare cát mai bună a stării de securitate a 
entității monitorizate) presupune [Sma04]: 

e Definirea clară a cadrului de discernământ 

e Alegerea corespunzătoare a modelului 

e Selectarea setului corespunzător pe care vor fi definite funcţiile de încredere 

e Alegerea unei reguli eficiente de combinare a funcţiilor de încredere 

e Stabilirea criteriului adoptat pentru luarea deciziei 

e |n cazul unei fuziuni dinamice (în care cadrul sau modelul se schimbă in timp) 

se stabilesc condiţiile în care se face schimbarea şi detaliile de tranziţie. 


În următoarele două paragrafe vor fi prezentate modele matematice reprezentative 
pentru teoria evidenţelor, precum şi etapele rezolvării problemei de fuziune. 


5.2 Teoria Dempster-Shafer (TDS) 


Unul dintre modelele matematice ce permite lucrul in conditii incerte este cunoscut sub 
numele de teoria rationamentului bazat pe evidenta (sau teoria Dempster-Shafer - 
TDS)[Sha76]. Premisa teoriei a constituit-o faptul ca ignoranta unui agent fata de o 
afirmatie nu trebuie sa determine impartirea in mod egal a probabilitátii intre valoarea 
de adevăr si cea de fals, aşa cum se asumă în raţionamentul probabilistic clasic. Mai 
mult, în cazul în care există posibilitatea câtorva alternative singulare mutual exclusive 
(singletons), iar agentul poate stabili probabilitățile doar pentru câteva dintre acestea, 
conform rationamentului probabilistic clasic, probabilitățile rămase trebuie distribuite 
într-o anumită manieră între celelalte alternative. 


Definiţie: © = (6,....,0,) se numeşte cadru de discernământ al problemei de fuziune, 
unde 8, cu i =1,...,n reprezintă setul de ipoteze. 


Modelul Shafer (M^(G) ) presupune cá 8, (i =1,...,n) sunt precis identificate astfel încât 
să asigure exclusivitatea si exhaustivitatea ipotezelor. Dacă © este deschis (condiția 
de exhaustivitate nu este îndeplinită), se poate adaugă un element 6, de închidere 
astfel încât să se lucreze cu un cadru închis {6,...,6,,6,,,}. Astfel, fără a pierde din 
generalitate, se va considera că © - (0,...,0,) formeazá un cadru de discernământ 


închis. 


În TDS iniţială, subseturile sunt construite ca propoziţii, unde propoziţiile de interes au 
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forma: 
P,(A) = Valoarea de adevăr a lui © este într-un subset A dng. 


Avand in vedere izomorfismul intre P,(A) si A, pentru simplicitate si consistenta cu 


terminologia adoptata in alte teorii curente, se va utiliza o reprezentare bazata pe 
mulțimi în definițiile ce vor urma. 


Definitie: Se numeste setul de putere (power set) 2? E (9,0) mulţimea alcătuită din 
toate submultimile lui © creată pe baza următoarelor reguli: 
e ©,6,,...,0,€ 2°. 
e Dacă A,Be 2°, atunciAUBe 2°. 
e 2°nu contine nici un alt element cu excepția celor obținute utilizând primele 
doua reguli. 
Pentru © = {6,,0,,0,}, se obține 
2° = (9,(0.(0,).(0,), (0, 00,), (0, 00,), (0, 00,).(0 00, UG,}}, având cardinalitatea 
129 1- 8 
Definiţie: Se numeşte masa de încredere de bază (numită simplu şi funcția de masă), 
funcţia m(.): 2? — [0,1] asociată unui corp de evidenţă B după cum urmează: 
m(@) = 0 şi 3. m(A) =1 (1) 


Ae20 


valoarea m(A) este denumită masa generalizată de încredere de bază a lui A. 
Definiţie: A este un element focal al spaţiului de fuziune 2?dacá m(A) » 0. 


Definiţie: Se definesc funcţiile încredere (credibilitate) şi cea de plauzibilitate pentru 
A c 0 după cum urmează: 


Bel(A) = 3. m(B) PI(A)- Y. mB) (2) 
BcA BOA#® 
Be2® Be2® 


Bel(A) reprezintá masa totala de informatii care implica existenta lui A, iar PI(A) este 
masa totala de informatii consistenta cu A. 


5.2.1 Regula de combinare DS 


Fuziunea a două surse independente cu mase m,(.),m2(.) si având aceeaşi fiabilitate 
se efectuează pe baza formulei următoare: 


m@)=0 şi pentru VAe 2? \{@}, Mps(A) =- : 3 m OO *m(Q), (3) 


O82 x ye20 
XAY=A 
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unde k,, = >, m, (X) * m, (Y) reprezintă gradul total de conflict (4) 


X. Ye29 

XAY=O 
Efectul factorului de normalizare 1—k,, din (3) constă în eliminarea componentelor de 
informaţie conflictuale între cele două surse combinate. 


Regula DS realizează o combinare de tip conjunctiv, este asociativă si comutativá, 
putând fi astfel aplicabilă pentru N>2 surse. De asemenea, în cazul când elementele 
focale sunt doar singletons (ipoteze singulare din 0), regula devine una consistentă cu 
una de tip Bayes în care m(.) = P(.). 


Regula prezintă limitări în situaţii cu conflict ridicat (valoarea lui k,, mare), iar când 
k,, = 1, masa combinată m(.)nu este definită, iar cele două surse de evidență sunt în 


contradicţie totală. Soluţiile curente constau în aplicarea unor tehnici de selectare ad- 
hoc a unor valori prag asupra acceptării (sau respingerii) rezultatelor de fuziune, sau 
aplicarea unei tehnici de tip „actualizare” asupra surselor. Departe de a adresa riscul 
prezentat de limitările menţionate anterior, aceste soluții transferă riscul în alte zone 
cum ar fi: modul de selectare a valorii de prag, modul de executare a actualizării în 
absenţa unor date statistice, etc. 


O serie de eforturi au fost depuse în zona identificării de noi reguli de combinare bazate 
pe modelul Shafer care să adreseze limitările regulii de combinare. [Dub86] [Yag87] 
[Ina91] 


Cum monitorizarea securitátii mediilor complexe genereazá uneori date impredictibile, 
se recomanda o utilizare circumspecta a regulii de combinare DS. 


Pentru exemplificarea modului de operare a acestei reguli de combinare, se considerá 
un cadru de discernământ © = (0,0,) unde 8 este ipoteza de trafic de atac, iar 0, este 
ipoteza de trafic legitim, iar m,(.),m2(.) sunt functiile de masa asociate unor sisteme 
IDS independente ale cáror valori sunt exemplificate mai jos: 


mı (01) =0.1 m (09) = 0.2 my (04 U 05) = 0.7 k12 = m3 (01)m»(02) + m3 (62)m2(61) 
ma(01) = 0.3 ma(02) = 0.2 ma3(01 U 02) = 0.5 ki = 0.1: 0.2 + 0.2 0.3 = 0.02 + 0.06 = 0.08 


m(01) = [m1(01)m2(01)4-m1(01)m»2(01002)4-m» (01)m1(01002)]/(1—Kk12) = 0.29/0.92 = 0.316 
m(02) = [m1 (2 )m(42)+mM (09)m»2(04U02)-4-m»2(02)m1 (01002)]/(1—k19) = 0.28/0.92 ~ 0.304 
m(061 U 05) = ma (44 U 62)me2(01 U 05)/(1 — k12) = 0.35/0.92 & 0.380 


Figura 5.2 - Exemplu combinare DS 


În cazul combinării informaţiilor provenind de la surse cu fiabilitate diferită, este 
necesară actualizarea prealabilă a maselor, prin alocarea procentului corespunzător de 
nefiabilitate către ignoranță. Considerând o sursă nefiabilă având funcţia de masă m(.), 


şi un indice de fiabilitate ae [0,1] unde a=0 reprezintă sursă total nefiabilă (sau 
ignoranta), iar @=1 sursă total fiabilă, actualizarea valorilor funcţiei de masă se va 
efectua pe baza următoarelor formule: 
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m(A) 8 Ms =a-m(A) VAZO 
m(0) m'(0) = (1— 0) - a: m(0) 


Figura 5.3 - Formulele de ajustare a maselor pe baza fiabilitátii senzorului 


Aceastá ajustare necesita insa un proces adecvat de estimare a factorului de fiabilitate 
a fiecárei surse, bazat pe experimente statistice validate. 


5.3 Teoria Dezert-Smarandache (TDSm) 


Pentru a adresa situatiile in care este necesará combinarea informatiilor provenind de 
la surse imprecise, nesigure, si aflate in conflict, Jean Dezert si Florin Smarandache au 
extins teoria TDS prin relaxarea conditiei de exclusivitate mutualá a elementelor 
cadrului de discernámánt, punánd bazele unei noi teorii care le poartá numele (TDSm). 


Spre deosebire de TDS, TDSm permite combinarea formalà a informatiilor provenite de 
la orice tip de surse independente, reprezentata in pe baza functiilor de incredere. 
TDSm şi-a arătat deja utilitatea în rezolvarea unor probleme complexe de fuziune în 
mod special atunci când conflictul între surse este ridicat, sau rafinamentul spaţiului de 
discernământ ©, este dificil de realizat datorită naturii vagi, imprecise a elementelor din 
© [Sma04]. 


Definitie: Se numeste set hiper-putere (hyper-power set) pe £ (LL ,0) structura 
alcătuită din toate submultimile lui © = (0,....,0,) utilizând operatorii U si c dupa cum 
urmeaza: 
e ©,6,,...,6,¢€ D? 
e Dacă A,Be Di atunciAN Be D? şiAUBe D? 
e D? nu contine nici un alt element cu excepţia ce lor obținute utilizând regulile 1 
si 2. 


Cardinalitatea seturilor de hiper putere urmeazá sirul de numere Dedekind. Cánd 
© ={6,,0,,0,}, se obține D? ={a,,@,,...,@,,} cu cardinalitateal D? I 19 [Sma04]. 


a, =Ø 

a 20,040, 10, a, — O, 

a, =6,08, a,, — 0, 

0 — 0, 18, a, =(8, 08,) 0 0, 
à, —0, O0, a — (0 (18) 06, 
a; — (0, Alert? A, 7 (0,010) 0 0, 
As — (0,20) 030, A; =0 0, 

a, —(0, V8) NG, 4,=9, 0, 

a -(00106)0(800306)0(08,080) &,=0,08, 

a, — 0, Qj, =0 20,00, 


Figura 5.4 — Setul de hiper-putere pentru un spațiu de discernământ cu | © |= 3 
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Pentru Modelul Shafer (M°(@)), setul de hiper putere se reduce la setul de putere 
clasic (D? = 2?) 


(ot mn 12° |= 9” 1D? | 
2 4 5 
3 8 19 
4 16 167 
5 32 7580 


Tabelul 5.2 - Cardinalitatea setului de putere si a celui de hiper-putere 


5.3.1 Functiile generalizate de incredere 


Definiţie: Pentru un cadru general ©, se defineşte funcția de masa m(.): G° [0,1] 
asociata unui corp de evidenta B dat ca fiind: 
m(g)-0 si >’ m(A)-1 (6) 


AcG® 


Definitie: Se definesc functiile incredere (credibilitate) si cea de plauzibilitate pentru 
AC® în mod similar TDS şi anume: 


Bel(A) = 3. m(B) PI(A)= Y m(B) (7) 
BcA BOA#D 


G? este o notație generică pentru un set pe care funcţia de masă este definită (G° 
poate fi 2° sau D? în funcţie de modelul ales pentru ©). Aceste definiții sunt 
compatibile cu definițiile funcţiilor clasice de încredere ale TDS când G° - 2? pentru 
problemele de fuziune unde modelul Shafer M? (©) este utilizabil [Sma09]. 


Pe parcursul capitolului, se vor utiliza diagramele Venn pentru reprezentarea grafica a 
relaţiilor logice posibile între elementele lui G°. O exemplificare a utilizării acestora 
este efectuată în figura 5.5. 


[M/(8)] IM(@)} [MP (6)] 
Figura 5.5 - Diagramele Venn pentru modelele 


DSm liber (MI (©) ), DSm hibrid (M(O)), si Shafer (M° (O) ) cul © l= 3 
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5.3.2 Modele DSm 


in functie de natura (discreta sau continua, precisa sau vaga, absoluta sau relativa, etc) 
conceptelor implicate in procesul de fuziune, se stabileste granularitatea modelului 
utilizat pentru cadrul de fuziune dupa cum urmează [Sma06]: 

e Modelul DSm liber (M' (©)) - impune o singură condiţie asupra elementelor 6,, 
i=1,...,„n ale cadrului de discernământ ©, şi anume cea de exhaustivitate 
(cadrul de discernământ închis). Elementele cadrului sunt vagi şi se pot 
suprapune. Este util în manipularea conceptelor continue, având o interpretare 
relativă (în care rafinamentul total este indisponibil) 

e Modelul DSm hibrid (M(8))) — presupune introducerea unor constrângeri de 
integritate în M/ (©). Unele elemente ale cadrului pot fi exclusive sau inexistente 
în cazul anumitor fuziunii datelor pentru anumite aplicaţii. 

e Modelul Shafer ((M°(@))) — este un caz special de Mo în care toate 
elementele exhaustive ale cadrului sunt cunoscute a fi exclusive 


5.3.3 Regula de combinare clasică DSm 


Dacă modelul liber M/(G)este adecvat problemei de fuziune ce trebuie adresate, 


See g A^ y : 
regula clasicá de combinare Te =m/(.) = [m ®m,](.)a două surse independente de 


evidenţă B, şi B, pe acelaşi cadru 9 având funcţiile masă m,(.) si m,(.) corespunde 
consensului conjunctiv al surselor şi este dat de formula: 


VCeD®, mr C = mC) = 3. m,(A)m,(B) (8) 


A,BeD® 
ANB=C 


Data: n experts ez: ez[1]...er[n], ex{i]. focal, er[i].bba 
Result: Fusion of er by conjunctive rule: conj 
ertmp — eil: 
for e = 2 to n do 
comb — (); 
foreach focl in ertmp.focal do 
foreach foc2 in er|e].focal do 
tmp — ertmp.f ocal( f ocl) N er[e].f ocal( f oc2); 
comb. focal — tmp; 
comb.bba — ertmp.bba( focl) x ez|e].bba( foc2); 


Concatenate same focal in comb; 
ertmp — comb; 
conj — ertmp; 


Figura 5.6 - Algoritm implementare regula combinare clasicá DSm 


Datorită numărului mare de elemente în D? când cardinalitatea lui © creşte (vezi 
tabelul 5.2), regula clasică de combinare va necesita foarte multe resurse 
computationale şi de memorie. Totuşi în cazul multor aplicaţii practice, cardinalitatea 


nucleelor K,(m,) şi K,(m,) (seturile de elemente focale Az Ze D?unde m,(A)>0 
sau m,(A) » 0) este mult mai mică decât cea a lui D°, putându-se astfel realiza unele 
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optimizári de implementare a regulii de combinare clasică DSm [Sma04]. 


Regula de combinare este foarte uşor de implementat. Pentru ilustrare se oferă 
algoritmul utilizat în implementarea toolkit-ului de funcţii DSm realizat de A. Martin care 


operează pe un set redus (D) al lui D?care contine numai nucleele ce trebuie 
combinate [Mar1 1]. 


5.3.4 Regula de combinare DSm hibrida (DSmH) 


Cand M” (0) nu este conform cu natura problemei de fuziune considerate si necesita 
luarea in considerare a unor constrángeri de integritate cunoscute, se va opera cu un 
model DSm hibrid construit corespunzător M(@) + MI (0). 


Definiţie: Se defineşte mulțimea vidă extinsă © i (Ou, Ø} care include Gu (mulţimea 


tuturor elementelor D?care au fost forțate a fi vide prin aplicarea constrângerilor 
asupra modelului M) si Ø mulţimea vida clasică. 


Definiţie: Se numeşte funcția caracteristică de existență (A) a unui set A, funcția 
definita dupa cum urmeazá: 


((A) 21 dacă Ag © si @(A) 0 daca Ae 2 (9) 
Avánd ca punct de plecare regula Dubois & Prade [Dub86], se defineste pe modelul 


DSm hibrid ales M(0) cu k > 2 surse de informatie independente regula de combinare 
DSm hibridă (DSmH) pentru Ae D? ca fiind: 


os (A) = my CA) = BAS, CA) S, CA) + S,(A)] (10) 
unde S,(A) = Mfo A S, (A), S;(A) sunt definite astfel: 


s42 È [ho (11) 


© i=l 
XX peD 
Xj, 0X5... DĂ =A 


A 
S,(A) = H Li». o» (12) 
p Ate izl 
IU Alte O)ACA-1,)] 


$005 Y [mx (13) 


© i=l 
Annere 
X[UX54U...UX,-A 
Xj0Xn...0X,eO 


cu U u(X,) Uu(X,) VU... vu(X,) unde u(X) este reuniunea tuturor 6, care compun 
X „iar 7, 2 0, UO, OD... 70, este ignoranta totală. 


S,(A) corespunde regulii de combinare clasicá DSm pentru k surse independente 
bazate pe modelul liber Mi (0); 
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S,(A) reprezintá masa tuturor seturilor relativ sau absolut vide care este transferata 
cátre ignoranta relativá sau totalá asociatá cu o constrángere de tip non-existentá 


S;(A) transferă suma seturilor relative vide direct într-o forma canonică disjunctiva de 
seturi nevide. 

Regula de combinare pentru DSm hibrid generalizeazá regula de combinare clasicá 
DSm si nu este echivalentá regulii DS. Poate fi utilizatá pentru orice model (modelul 
liber, modelul Shafer, sau orice model hibrid) atunci cánd manipuleazá functii de 


incredere generalizate precise. O extensie a acestei reguli pentru combinarea de functii 
de incredere generalizate imprecise este disponibilá in [Sma04]. 


Date intrare: (CX ox oe SEI 5211755 T] 
A=(X,0X,) 


dE CA) este constrángere 


then go to Kë 
else S,(A)=S,(A)+ m,(X,)m,(X,) 
A=(X,UX,) 


aie (A )este constrángere 

then go to S, 

else S,(A)=S,(A)+ m,(X,)m,(X,) 
A=(u(X,) UU(X, )) 

TE AL? este constrángere 

then I, zl, +m,(X,)m,(X,) 

else S,(A)=S,(A)+ m (X,)m, (X3) 


Figura 5.7 - Algoritm de aplicare a regulii de combinare DSmH asupra unei perechi ( X,, X.) 


5.3.5 Regula de redistribuire proporțională a conflictului 


Scopul regulii de redistributie proporțională a conflictelor este de a transfera (total sau 
partial) masele de conflict către seturi nevide implicate în conflict in mod proportional cu 
masele asociate acestora de către surse după cum urmează: 

e Calculeazá regula conjunctiva a maselor de încredere : 


m,(X)= * m,(X,)m,(X,) (14) 


X,,X,eG8 
X,X,=X 


e Calculeaza toate masele in conflict: 


kp = b3 m,(X,)m,(X,), unde m,(X,)m,(X,) este masa de conflict partial (15) 


X,,X,eG8 
XnX,-0 


e  Redistribuie masele în conflict (totale sau parţiale) către seturile nevide implicate 
în conflict în mod proporțional cu masele asociate de surse şi în conformitate cu 
toate constrângerile de integritate. 
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Multiplele posibilităţi de redistributie a maselor in conflict, a dus la crearea unei serii de 
reguli de distributie a conflictului (cunoscute sub numele de PCR1.. PCR6). Aceste 
reguli operează pentru orice grad de conflict, orice model, şi situaţii de fuziune statică 
sau dinamică. 


În continuare este prezentată regula PCR5, considerată a fi cea mai eficientă regulă de 
combinare disponibilă în acest moment. Formula PCR5 pentru s=2 surse este 
[Sma06] 


Diane (II = 0 şi VX e G? Ø} 


m(X)m,Q) mX mY) 


(16) 
m(X)+m, (Y) m,(X)+m (Y) 


Mpcrs(X) = m, (X) + 2 [ 


Yea? W xj 
XnY-Ó 


5.3.6 Exemplu utilizare a regulilor de combinare 


Pentru un spatiu de discernámánt format din 2 elemente (A,B), un model Shafer si 
două surse de masa m,(.), respectiv m,(.) cu valorile de masa date în liniile 
corespunzătoarele din tabelul de mai jos, se calculează m,,(. pe baza formulei (8) 
(valorile rezultat în ultima linie a tabelului). Acestea reprezintă totodată şi valorile pentru 
regula DSmH: 


A B AUB 
m,(.) 0.6 0.3 0.1 
m,(.) 0.2 0.3 0.5 
m, (.) =0.6*0.2+0.6*0.5+0.2*0.1 | =0.3*03+0.3*0.5+03*0.1 -0.1*0.5 
0.44 0.27 0.05 


Tabelul 5.3 — Exemplu combinare pe baza regulii DSm/DSmH 


Masa de conflict k, = 0.24 = m, (A)m, (B) + m, (B)m,(A) = 0.24 iar A si B sunt singurele 
elemente focale implicate în conflict, aşa că ele vor primi o parte din masele 
conflictuale. PCR5 redistribuie masa de conflict 0.18 către A si B proportional cu 
masele m, (A), respectiv m,(B), iar masa de conflict 0.06 către A si B proportional cu 


masele m,(A), respectiv m,(B). 


mu =0.6-0.2 = 0.12] 
yı = 0.3- 0.2 = 0.06| 

r3 = 0.2-0.12 = 0.024 
xo /0.2 = yo /0.3 = (to + yo /(0.2 D 0.3) — 0.06/0.5 — 0.12 race - ——— al 
DM M iion: — E = 0.3- 0.12 = 0.036| 


engel 


7,/0.6 =, /0.3 = (1 + y1)/(0.6 + 0.3) 209202. —> | 


Valorile pentru regula PCR5 sunt calculate după cum urmează : 


mpcms(A) = 0.44 + 0.12 + 0.024 = 0.584 
mpcps(B) = 0.27 + 0.06 + 0.036 = 0.366 
mpcrs(AU B) = 0.05 + 0 = 0.05 
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Valorile pentru regula DS sunt calculate pe baza formulelor (3), (4) si se obtin 
urmátoarele rezultate: 
0.44 0.27 0.05 


0.24 ~ 0.579 mps( B) = l 0.24 ~ 0.355 mps(A A B) = 1—034 M 0.066 


mps(A) = 
: 1 


Centralizand rezultatele in tabelul de mai jos, se observa ca ignoranta totala 
Mps (AU B) obţine prin redistribuire masă adițională, deşi nu ar trebui sa primească 


nimic din masa conflictuală (conform ipotezei PCR5). Regula PCR5 este mai exactă 
decât cea DS 


A B AUB 

Mps 0.579 0.355 0.066 
Most 0.440 0.270 0.290 
Mpcrs 0.584 0.366 0.050 


Tabelul 5.4 — Rezultatele combinării pe baza regulilor DS, DSmH si PCR5 


5.3.7 Transformarea pignistică 


Managementului informației este un proces cu două niveluri: credal (cel de combinare a 
evidențelor), si picnistic (cel de luare a deciziei). Când este necesară luarea unei 
decizii, trebuie construită o funcție de probabilitate pe baza funcţiilor de încredere ce 
descriu starea credal [Sme88]. 


TDSm urmează această abordare şi oferă câteva opțiuni pentru alegerea funcţiei de 
probabilitate ce se doreşte a fi utilizată pentru luarea deciziei în condiţii de incertitudine. 


O modalitate simplă de construire a funcției de probabilitate are la bază transformarea 
pignistică clasică definită în cadrul TDS [Sha76]: 


BetP{A}= V. KoA m) (17) 


xe20 


unde | AI reprezintă cardinalitatea lui A (şi convenţia ca 121/1212 1 pentru a extinde 
definiţia si pentru BetP{@}). 


Definiţie: Se defineşte cardinalitatea DSm (C,,(A)) pentru VAe D? ca fiind numărul 


de parti ale lui A in diagrama Venn corespunzátoare modelului M ales si luánd in 
considerare setul de constrángeri si toate intersectiile posibile. 


Pe baza conceptului de cardinalitate DSm enunțat, se defineşte transformarea 
pignisticá generalizatà ca fiind: 


Cy(X OA) 


VAe DÉI, BetP{ A} = 
€ etP( A} » C. QD 


Xep9 


(X) (18) 
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unde C,,(X) reprezintá cardinalul DSm al propozitiei X pentru modelul DSm M a 
problemei considerate [Sma06]. 


A € D9 Cm(A) 
ag & ( 0 
o1 = 040 05 1 
oa = 04 1 
az = 64 2 
ou & 05 2 
as = 6; U 05 3 
Op 2 04 U 03 3 
OT 2 05 U 03 3 
ag = Hi U bə U 03 4 


Figura 5.8 Cardinalitate DSm C,,(A) pentru modelul hibrid M(0) din Figura 5.5 


5.4 Experiment de monitorizare a securitatii utilizánd TDSm si TDS 


Obiectivul acestei sectiuni este de a verifica aplicabilitatea TDSm pentru monitorizarea 
securitatii. Pentru simplificare se considera cazul unui detector IDS care genereaza 
alerte si care vor fi combinate pe baza TDS sau TDSm. 


5.4.1 Modelarea detectiei de intruziuni utilizand teoria DSm 


Se alege cadrul de discernământ © = {6,,0,,0,} unde ipotezele sunt definite după cum 
urmeaza: 

e @, - activitate legitimă 

e  Q,- activitate suspectă 

e d -situație de intruziune 


Pentru reprezentarea problemei se utilizează modelul DSm hibrid Mo descris pe 
baza diagramei Venn din figura 5.9. 


N 


NA A ^ 
KEE NN. Vë oi 


Figura 5.9 — Diagrama Venn pentru problema de detectie a intruziunii 
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Se utilizează «xy» pentru a desemna 8, cé. unde x< y şi x, ye {1,2,3}. 


Setul de constrángeri (elemente D? care sunt imposibil de obtinut) pentru acest model 
este: (0, ^6,, (8, 00,)^6,, (0, U8,)n8, (8, 18,)U6,, 


(8 18,)uU(8 ^6,) 0 (8, 08), 6,00, 065}. 


Se consideră că sistemul IDS are un factor de încredere de 80% în alertele generate. 
Astfel funcţia de masă de încredere pentru fiecare alertă va fi m():G? — [0,1] 
m@)=0 m(A)=0.8 unde Ae Osi reprezintă rezultatul generat de sistemul IDS, iar 
m(1,) = 0.2 reprezintă masa asociată ignoranței totale). 


Pentru combinarea maselor se vor utiliza regulile DSmH şi PCR5. De asemenea, se 
vor evalua rezultatele obținute pe baza acestor reguli cu rezultatul aplicării regulii DS 
pe un modelul M? (®©) corespunzător cu | 8 [2 3. 


Decizia se va lua pe bază transformării pignistice generalizate (18) 


5.4.2 Descrierea experimentului 


Se va considera trafic de atac (corespunzător lui 8,) acela identificat de regulile IDS al 


căror câmp de prioritate este mai mică decât prioritatea 4. Alertele generate de reguli 
având altă prioritate se vor considera suspecte (şi corespund lui 6,). Dacă nici o alertă 
nu este generată, se va considera că activitatea vizibilă sistemului IDS este legitimă 
(ipoteza 8). 


Se utilizează nping (versiunea 2) [Hpi--] pentru a genera trafic de atac de tip SYN 
Flood şi ping pentru a genera trafic ce va fi identificat ca suspect de sistemul IDS 
(Snort 2.9.1)[Sno--]. 


Traficul de atac va fi generat de la adresa 192.168.254.4, iar ţinta are adresa 
192.168.254.101. 


Regulile IDS pentru detectia traficului de atac si suspect generat sunt : 


lert tcp any any -> any any (msg:"Successful Test DOS "; flow: stateless; 
lags:S,12; threshold: type threshold, track by src, count 300, seconds 15; 
lasstype:successful-dos; sid:10002;) 
lert tcp any any -» any any (msg:"My Syn Flood Scenario "; flow: stateless; 
lags:S,12; threshold: type threshold, track by src, count 30, seconds 5; 

lasstype:attempted-dos; sid:10008;) 


lert icmp SEXTERNAL NET any -> $HOME NET any (msg:"ICMP PING Windows"; itype:8; 
content:"abcdefghijklmnop"; depth:16; reference:arachnids,169; classtype:misc- 
a Cite sete eStore Eet 


Figura 5.10 — Reguli de detectie folosite pentru experiment 


Prioritatile claselor de intruziune sunt definite in fisierul 
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SSNORT_HOME/etc/classification.config 


config classification: misc-activity,Misc activity, 4 
config classification: successful-dos,Denial of Service, 2 


config classification: attempted-dos,Attempted Denial of Service, 3 


Figura 5.11 — Prioritatile regulilor de detectie folosite pentru experiment 


Pe o durată de 10 minute esantionata în intervale a cate 6 secunde fiecare, se creează 
urmatorul tip de trafic: 


e Pentru primele 5 minute (esantioanele 1-50) se genereaza cu o probabilitate de 
70% trafic normal, 15% trafic suspect, si 15% trafic de atac 


e Primele ultimele 5 minute (esantioanele 51-100) se generează cu o probabilitate 
de 70% trafic de atac, 15% trafic suspect, si 15% trafic normal 


09/08-20:40:36.195766 Se :382:7] ICMP PING Windows [**] [Classification: i activity] 
Predă Pg 4] (CMP ie 2 oe. 254, 4) —» 192.109:254- LUI 
9/08-20:40:38.589998 SS SIE Syn blood ’Scenacio: AA [[Classitica 
ttempted Denial of Service] [Priority: 3] {TCP} 192.168.254.4:3507 -» 192.168 .101:8084 
9/08-20:40:40.650505 ECH ll daer Be ho Oc SC ebe E TG S sa faca. 
ttempted Denial of Service] [Priority: 3] {TCP} 192.168.254.4:3537 -» 192.168 .101:8084 
9/08-20:40:42.708614 el :10008:0] My Syn Flood Scenario [**] [Classifica 
ttempted Denial of Service] [Priority: 3] {TCP} 192.168.254.4:3567 -» 192.168 .101:8084 
9/08-20:40:43.597842 GC :382:7] ICMP PING Windows [**] [Classification: activity] 
Pryorstw cb] {CMP yy 192.165.254.4.—5 192.21098.,254.101 
:44.722941 os :382:7] ICMP PING Windows [**] [Classification: i activity] 
(DEM 292.158.254.4.—* 192.168.254. 101 


Figura 5.12 — Esantion de trafic de testare 


Pe baza definitiei functiei de masa (definita in paragraful precedent), se vor genera 
valorile funcţiei pentru fiecare eşantion dupa cum urmează: 


e Dacă nu există nici o alertă în eşantion, atunci A = 0, (trafic legitim) 
e Daca pentru alertele din esantionul de timp min(priority)< 4 atunci A = 0, (trafic 
de atac), altfel A = 0, (trafic suspect) 


Combinarea datelor se efectuează după cum urmează: 


Date: m[100] - set de 100 înregistrări cu valorile de masă 
Model DSmH, Model Shafer 


Rezultat: Rezultate combinare 
Valoare start- m[random(100)] 


Masa SistemDS[0]-2 Valoare start 
Masa SistemDSmH[0]2 Valoare start 
Masa SistemPCR5[0]2 Valoare start 


#(alege aleator o valoare din setul de înregistări 


Eeer OOS ado! 
Masa_SistemDS[I]:= Combinare DS(Masa SistemDS[I-1], m[I]) 
Masa SistemDSmH[I]- Combinare DSmH(Masa SistemDSmH[I-1], 
Masa SistemPCR5[I]- Combinare PCR5(Masa SistemPCR5[I-1], 
done 


Figura 5.12 — Algoritm de combinare a evenimentelor IDS 
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Pentru implementarea aplicatiei de combinare utilizata in acest test, s-au utilizat rutine 
Matlab din biblioteca de funcţii DST si DSmT realizată de Arnaud Martin [Mar1 1], 
precum şi rutine create de Pascal Djiknavorian si disponibile in [Sma06][Sma09]. 


Probabilitátile se vor calcula pe baza transformatei generale pignistice. Pentru detalii de 
implementare a acestor functii, se poate consulta codul sursá disponibil pe CD-ul 
atasat lucrárii. 


Rezultatele obținute sunt prezentate în figurile 5.13, 5.14 si 5.15. 


5.4.3 Interpretarea rezultatelor obținute 


Analizând rezultatele fuziunii se pot face următoarele observații: 

e Toate combinările detectează schimbarea trendului (care se produce la iteratia 
#54) în ceea ce priveşte starea generală de securitate, de la preponderent 
sigură în prima parte a intervalului, la cea de atac în partea a doua. DSmH şi 
PCR5 indică cu o probabilitate de 80% o stare de atac începând cu iteratia #55, 
în timp ce combinaţia DS determină această schimbare cu o probabilitate de 
peste 80% abia la iteratia 457. 

e DSmH si PCR5 identifică evenimentele de atac care au loc pe fond de trafic 
legitim, precum si evenimentele normale pe durata sectiunii de atac. 

e PCR5 efectuează o redistributie mai bună a conflictului (a se vedea m(6,) 
pentru iteratiile din intervalul [15,21].) 

e Rezultatele DSmH cát si PCR5 nu mai sunt cele asteptate atunci cand aproape 
toată masa (peste 98%) se acumulează în 8 n8,sau 6, ^0, (a se vedea spre 


exemplu iteratia 441 pentru PCR5 si #37 pentru DSmH). În acest caz 
probabilitátile pignistice vor indica cu aceeasi tárie atát situatie de trafic normal 
cat si suspect. O solutie pentru a adresa astfel de situatii este de a limita 
cantitatea de masá care se poate asocia la orice moment de timp unei entitáti a 
diagramei Venn. O recomandare in acest sens este ca orice masa in exces de 
0.98 pentru un element sa se realoce către ignoranta totală I(t) [Dji 10]. 


Pe baza acestor observatii se poate concluziona aplicabilitatea teoriei DSm pentru 
monitorizarea securitatii in cazul testat. O serie validari utilizand diferite clase de 
alarme, si combinari de surse eterogene (IDS de retea si de statie) sunt necesare 
pentru a creste gradul de confidenta in aplicabilitatea teoriei. Pentru o implementare de 
succes in sisteme reale, este necesará rescrierea rutinelor de combinare si de luare a 
deciziei utilizand un limbaj ce permite o rulare mai rapidá (cum ar fi C++). 


Consideránd limitárile existente in ceea ce priveste adresarea alarmelor false generate 
de sistemele IDS, precum si previziunile legate de cresterea continuá a imperfectiunii 
datelor de securitate, se anticipeazá ca identificarea si utilizarea modelelor matematice 
ce adreseazá mai eficient datele imperfecte sa constituie o preocupare importanta si in 
domeniul managementului securităţii IT. 
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Figura 5.13 — Rezultatele combinarii datelor de trafic utilizand modelul DS (Shafer) 
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— Rezultatele fuziunii datelor de trafic utilizand regula de combinare DSmH 


Figura 5.14 
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Figura 5.15 — Rezultatele fuziunii datelor de trafic utilizànd regula de combinare PCR5 
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Motto: Un punct, care ieri era nevăzut, este ţinta atinsă azi şi va fi punctul de plecare mâine! 
- Macanlay 


CAPITOLUL 6 


CONTRIBUȚII ŞI REZULTATE ŞTIINŢIFICE OBȚINUTE 


Plecând de la abordarea direcțiilor de cercetare propuse în secțiunea introductivă, în 
perioada de pregătire şi de elaborare a tezei de doctorat s-au obţinut o serie de 
rezultate ştiinţifice şi s-au propus contribuții originale, care au fost prezentate în detaliu 
în conținutul tezei. 


Ca metodologie de lucru s-a avut în vedere obţinerea de rezultate stiintifice si de 
contribuţii originale care să se regăsească în cadrul fiecărui capitol al tezei. Este şi 
motivul pentru care se vor prezenta în continuare, sintetizat, pe capitole, rezultatele 
ştiinţifice şi contribuţiile originale propuse. Astfel, în: 


Capitolul 1: 


Elaborarea unui studiu asupra vulnerabilitatilor spațiul virtual. Complexitatea si 
dinamica din spaţiul virtual constituie premisele existenţei unui volum în creştere 
şi diversificat de vulnerabilitáti. Vulnerabilitatile pot fi datorate configurației, 
politicii de securitate, utilizatorilor şi tehnologiei. Vulnerabilitátile tehnologice sunt 
datorate deficienţelor structurale de securitate la nivelul suitei de protocoale de 
comunicaţie TCP/IP sau a implementărilor acestora, deficienţelor de securitate 
în aplicaţii, sistemele de operare sau ale echipamentelor de rețea. O buna 
înțelegere a spectrului vulnerabilitátilor e în măsură să contribuie la definirea şi 
implementarea unor strategii de securitate care să ofere rezultatele aşteptate. 
[PPNO6-01] 


Definirea unui cadru pentru detecția intruziunilor şi a procesului de monitorizare 
asociat acestuia. Pentru a detecta intruziunile, trebuie înțelese acțiunile 
necesare pentru compromiterea unei ţinte. In acest sens se prezintă un cadru cu 
fazele tipice prin care un atacator poate prelua controlul asupra unei victime, şi 
se evaluează oportunităţile de monitorizare corespunzătoare fiecărei faze. 
[PPNOS] 


Extinderea unui model de clasificare a atacurilor ín Internet. Odatá cu progresele 
fácute in securizarea tehnologiilor si infrastructurii Internetului, s-a observat o 
complexitate sporită in elaborarea şi managementul intruziunii din partea 
atacatorilor. În acest context este necesară utilizarea unor formalisme pentru 
caracterizarea atacurilor, astfel încât să se obțină o descriere completă şi 
consistentă a acestora. Extinderea efectuată a vizat adăugarea de atribute 
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necesare din perspectiva monitorizárii securitátii care sá ofere un management 
post incident mai eficient. 


Constructia unor scheme pentru atacuri tipice pe bazá de mesaje de postá. 
Avánd la bazá principiul arborilor de atac, schemele prezintá succesiunea de 
pasi urmati atat de atacator cat si de victima pentru ca atacurile sa se incheie cu 
succes. Schemele sunt utile pentru o intelegere adecvatá a cáilor de atac, dar si 
pentru a identifica modul in care tehnologiile disponibile la ora actuala pot fi 
utilizate pentru a reduce vulnerabilitatea la diferitele clase de atacuri. [PPNO6- 
01] 


Elaborarea unei analize comparative a tehnicilor de scanare utilizate ín 
propagarea viermilor. Obiectivul atacurilor pe bazá de viermi este de a asigura 
infectarea a cát mai multor statii, iar detectia propagarii sa fie intarziata. Un rol 
important in acest sens il are strategia de scanare (de identificare a potentialelor 
victime), identificarea factorilor care influenteazá performantele de propagare 
putánd ajuta la elaborarea unei defensive eficiente. Pe baza analizei s-a 
identificat necesitatea ca sistemele defensive sá urmáreascá prevenirea 
atacatorului de la identificarea adreselor IP ale unui numár mare de statii 
vulnerabile, sau obtinerea unor informatii legate de adresele alocate, care 
determină reducerea spaţiului de scanare. [PPN05-01] 


Capitolul 2: 


Construirea unui cadru de definire şi implementare a monitorizării securității 
centrat în jurul organizaţiei şi a activităților sale. Monitorizarea securităţii la 
nivelul organizaţiei se defineşte ca fiind procesul de menţinere în mod constant a 
atenţiei asupra securităţii informaţionale, vulnerabilitátilor şi amenințărilor, cu 
scopul de a oferi supori deciziilor legate de managementul riscului la adresa 
organizaţiei. Obiectivul este de a realiza monitorizarea în mod constant a 
securităţii rețelelor şi sistemelor informaţionale ale organizaţiei şi de a răspunde 
prin acceptarea, evitarea, transferul sau adresarea riscurilor atunci când sunt 
schimbări. [PPNOS] 


Elaborarea unui cadru pentru definirea de metrici de securitate. Asemenea 
oricărui alt proces, managementul efectiv al securității nu poate avea loc dacă 
aceasta nu este măsurată. Pornind de la modelul CVSS (Common Vulnerability 
Scoring System) s-a elaborat un cadru pentru definirea de metrici de securitate 
în organizaţie. Această contribuţie (publicată în [PPNO6-05]) a constituit un punct 
de referință pentru comunitatea ştiinţifică internaţională, fiind printre primele 
cercetări efectuate în zona metricilor de securitate. 


Definirea şi evaluarea unui cadru pentru partajarea informațiilor de intruziune la 
nivel global. Multe organizaţii au implementat programe de răspuns la incidente 
de securitate, însă continuă să trateze atacurile ca evenimente singulare fără a 
colecta informaţii despre ele. Colectarea unor astfel de informaţii ar oferi 
posibilitatea de a analiza evoluţia în timp a amenințărilor la adresa organizației, 
precum şi oportunitatea identificării unor riscuri structurale care să poată fi 
evaluate şi în procesul de analiză a riscului. VerlS (Verizon Incident Sharing) 
Framework permite colectarea si analiza într-o manieră consistentă a 
informaţiilor despre atacuri, astfel încât organizaţiile să aibă o mai bună 
înțelegere asupra a ceea ce s-a întâmplat, precum şi a impactului, analiza 
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comparativá cu starea de securitate a altor organizatii similare (din aceeasi 
industrie, regiune geograficá, sau de aceeasi dimensiune). 


Definirea unui model de monitorizare completă a securității. Dacă initial 
monitorizarea stării de securitate viza identificarea amenințărilor (detectia 
intruziunilor), conceptul a fost ulterior extins şi către alte zone din sfera securității 
IT cum ar fi: monitorizarea conformării cu politica de securitate, monitorizarea 
eficacitátii controalelor de securitate, monitorizarea vulnerabilitátilor controalelor, 
etc. O soluţie de monitorizare completă, care va putea oferi informaţii de starea 
securităţii cât mai apropiate de realitate, va trebui să acopere toate elementele 
cu relevanţă pentru procesul de securitate: amenințări, vulnerabilitáti, controale 
de securitate, resurse, risc şi agenti de ameninţare [PNCNO9] 


Capitolul 3: 


Sintetizarea şi elaborarea unei evaluări asupra tehnologiilor de culegere a 
datelor utilizate în procesul de monitorizare a securității. Aceste tehnologii sunt 
responsabile pentru culegerea de date utilizate în procesul de monitorizare 
completă a securităţii, acoperind toate elementele cu relevanţă pentru procesul 
de securitate şi anume: vulnerabilitáti, management patch-uri, evenimentele si 
incidentele de securitate, detecția de software malitios, managementul 
configuratiilor, managementul rețelei, managementul inventarului de 
echipamente si sisteme [PPN07-01]. 


Elaborarea unui studiu comparativ şi a unei caracterizări structurale a 
tehnologiilor de detecție a intruziunilor şi a implementărilor de sisteme IDS. 
Tehnologiile au fost evaluate în funcție de tehnica sau principiul de detecție 
utilizat — monitorizare fişiere de jurnalizare, monitoare de integritate (fişier sau 
sistem), anomalii, semnături, hibride, capcană (honeypot), cât si în funcţie de 
resursa monitorizată şi amplasare. 


Implementarea şi testarea tehnologiilor de detecție a intruziunilor. Tehnologii 
reprezentative pentru detecția intruziunilor au fost testate şi evaluate pe durata 
cercetării pentru a stabili eficacitatea, gradul de interoperabilitate, suportul 
pentru direcţii ulterioare de cercetare (cum ar fi validarea aplicabilitátii Teoriei 
Dezert-Smarandache pentru monitorizare în condiţii de incertitudine a datelor 
prezentată în capitolul 5). Tehnologiile testate au fost Snort, Bro, SEC, OSSEC, 
Logwatch, Flister, Revealer, Vice, Tripwire, Afick. 


Sintetizarea şi elaborarea unui studiu asupra tehnicilor de urmărire a atacurilor 
DDoS. O strategie eficientă de construirea defensivei împotriva atacurilor DDoS 
combină o serie de tehnici pentru a acoperi următoarele aspecte: prevenirea, 
detecția, urmărirea pachetelor fluxurilor sau traficului agregat creat de DDoS şi 
suprimarea atacurilor. Clasele de tehnici de urmărire care au fost studiate includ 
marcarea pachetelor, controlul căii, si jurnalizarea pachetelor. [PNBO9] 


Elaborarea unui studiu de caz pentru analiza spațiului de amenințări pe baza 
datelor publice oferite de sistemele de monitorizare globală în Internet. Pe baza 
datelor de trafic observate de sistemele de monitorizare globală (CAIDA şi 
DShield/ISC) începând cu data de 28 Noiembrie 2008, se identifică apariția unui 
eveniment major în rețea, prezentând caracteristicile unei propagări epidemice 
de vierme (numit ulterior Conficker). Datele disponibile pentru următoarele luni 
indică schimbări în comportamentul viermelui pe măsură ce apar noi variante 
care înlocuie sau coexistă cu cele anterioare. 
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Capitolul 4: 


Elaborarea unei arhitecturi generice de monitorizare a securitati, precum si a 
unui set de consideratii pentru faza de implementare a arhitecturii. O arhitectura 
generică de monitorizare a securităţii, stabilită pe baza modelelor OSSIM, 
Counterpane şi MCI Sentry, are următoarele componente: surse de evenimente 
cu relevanţă pentru procesul de monitorizare, colectoare de evenimente, baza 
de date cu mesaje de securitate, module de analiză şi aplicaţii pentru suportul 
răspunsului la incidentele de securitate identificate. Se prezintă o serie de 
considerente ce trebuie avute atât în faza de proiectare cât şi cea de 
implementare: integrarea componentelor enumerate anterior, în contextul 
asigurării integrităţii, disponibilitatii şi securităţii datelor, şi a canalelor de 
comunicaţie între componente, precum şi amenințările la adresa arhitecturii 
[PPNOS]. 


Elaborarea unui studiu asupra tehnicilor de corelatie a datelor ín procesul de 
monitorizare a securității. Pe măsură ce scenariile de atac devin mai complexe, 
datele de monitorizare oferite de senzori devin obiectul unei analize mai 
profunde. Tehnicile sunt în general grupate în două categorii: abordări fără 
cunoştinţe, care se regăsesc în cele mai multe implementări curente (console de 
monitorizare, sau instrumente de analiză a fişierelor jurnal), şi cea de-a doua 
categorie reprezentată de tehnicile bazate pe cunoştinţe (furnizate de un experi, 
sau deduse pe baza unor tehnici de învăţare). [PPN06-04] 


Sintetizarea şi elaborarea unui studiu aspra riscurilor şi amenințărilor la adresa 
arhitecturii de monitorizare. Pentru a creşte gradul de complexitate intruziunilor, 
atacatorul va căuta să-şi menţină un grad de anonimat, să evite detecția. În caz 
că nu reuşeşte, atacatorul va căuta să degradeze sau să stopeze colectarea de 
evidente, fapt care va complica investigaţiile de după incident. Concluziile indică 
faptul că majoritatea atacatorilor exploatează în esență consecințele unui 
management deficitar şi lipsa de experienţă a administratorilor arhitecturii. 


Capitolul 5: 


Tratarea unor subiecte de noutate în literatura de specialitate din domeniul 
securității informaţionale: Odată cu creşterea complexităţii ecosistemului de 
securitate, procesul de monitorizare va avea la dispoziție mase mari de date şi 
informaţii, dar care vor fi caracterizate de un conţinut din ce în ce mai ridicat de 
imperfecţiune. Tratarea cazurilor complexe de imperfecţiune a datelor pe baza 
teoriilor tradiţionale (cum ar fi teoria clasică a probabilităților) este inadecvată. În 
acest sens s-au explorat modele matematice alternative cum ar Teoria Dezert- 
Smarandache (TDSm) a rationamentului plauzibil si paradoxist care permite 
combinarea formalá a oricárui fel de informatii: certe, incerte, paradoxale. 
[NPP1 1] 


Construirea unui model experimental de evaluare a aplicabilitátii TDSm ín 
monitorizarea securității: Una din problemele constante a tehnologiilor de 
detectie a intruziunilor este generarea de alarme false, care in multe cazuri 
influenteazá negativ procesul de analiza si decizie. Pentru a verifica 
aplicabilitatea TDSm in aceasta directie, s-a construit un model experimental in 
care date de trafic legitim si atac create in regim controlat sunt receptionate de 
un sistem IDS, care la rándul sáu genereazá alerte cu prioritáti diferite. Pe baza 
acestor alerte se creeazá evenimente asociate unui spatiu de discernámánt, 
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care ulterior se combina pe baza a diferite reguli de fuziune (Shafer, PCRS, 
DSmH). Validarea a constant in verificarea concordantei intre realitate (datele 
de trafic generate) si rezultatele obtinute in urma fuziunii, precum si rapiditatea 
de detectie a schimbárilor care apar in mediu. [NPP1 1] 


Construirea unui cadru de identificarea imperfectiunii datelor din sfera 
monitorizării securității. Pentru suportul evaluării aplicabilitatii TDSm în 
monitorizarea securităţii, s-a construit un cadru de identificare a imperfectiunii 
datelor din sfera monitorizării securităţii plecând de la clasificarea imperfectiunii 
informaţiilor realizată de Smet. Pe baza acestui cadru pe vor putea identifica şi 
alte aspecte legate de monitorizarea securităţii pentru care se va dori testarea 
aplicabilitátii si eficacitátii teoriei DSmT. 


Rezultatele cercetárii obtinute pe durata pregatirii tezei de doctorat, si prezentate in 
aceastá lucrare, au fost publicate in peste 20 articole, studii sau cárti din care: 


Lista 


5 articole cotate si indexate ISI 

2 articole indexate IEEE Xplore 

1 carte publicatá la o editura cotata CNCSIS 

1 articol cotat CNCSIS in reviste A, 

1 articol cotat CNCSIS in reviste B+, 

3 articole cotate CNCSIS în reviste B, 

4 articole cotate în reviste C sau asimilate (cu ISSN / ISBN) 


detaliată a lucrărilor publicate care contin rezultate ale cercetării proprii 


desfăşurate în domeniul monitorizării este prezentată în secţiunea „Publicaţii 
personale” din capitolul de Bibliografie. 


De asemenea, rezultate obținute au constituit puncte de referință pentru comunitatea 
ştiinţifică internaţională. Dintre lucrările altor autori care valorifică rezultatele cercetării 
pe care am desfásurat-o în sfera monitorizării securităţii se amintesc : 


Lucrări de Doctorat 

e Sebastian Sowa - Information-Security-Business-Performance-Measurement und -Management im 
Kontext von Compliance und Unternehmungszielen, PhD Thesis, Ruhr-Universitat Bochum, 
Germany, 2009; http:;//www-brs.ub.ruhr-uni-bochum.de/netahtml//HSS/Diss/SowaSebastian/diss.pdf 

e Demetrius M. Kyriazanou - Ensuring Privacy in Personal Networks with Situational Awareness, PhD 
Thesis, National Technical University, Athens, Greece, 2009; 
http://artemis.cslab.ntua.gr/Dienst/Repository/2.0/Body/artemis.ntua.ece/PD2009-0056/pdf 


Lucrari de Master 

e Vilhelm Verendel - Some Problems In Quantified Security, Thesis For The Degree Of Licentiate Of 
Engineering, Chalmers University Of Technology, Góteborg, Sweden 2010; 
http://www.cse.chalmers.se/-vive/QuantHypothesis/ 

e Scott E. Schimkowitsch - Key Components of an Information Security Metrics Program Plan, Master 
of Science, University of Oregon, USA, 2009; 
https://scholarsbank.uoregon.edu/xmlui/bitstream/handle/1 794/9479/Schimkowitsch- 
2009.pdf?sequence=1 

e Laerte Peotta de Mello - Proposta de Metodologia de Gestao de Risco em Ambientes Corporativos 
na Area de TI - Master Thesis, Universidate de Brasilia, Brasilia, Brazil, 2008; 
http-//repositorio.bce.unb.br/bitstream/10482/1628/1/2008 LaertePeottaDeMelo.pdf 

e Pranitha Koya - A Framework for Security Assurances of Student Applicant Data in Educational 
Institutions - Masters of Science In Technology Project Management - Information Systems Security, 
University of Huston, USA, 2008; http://www.tech.uh.edu/cae- 
dc/documents/Pranitha Koyai 20089620(4).pdf 
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Articole publicate in jurnale de specialitate sau rapoarte stiintifice de referinta 


T. Sree Ram Kumar, K. Alagarsamy - A Stake Holder Based Model for Software Security Metrics, 
IJCSI International Journal of Computer Science Issues, Vol. 8, Issue 2, March 2011, ISSN: 1694- 
0814; http://www.ijcsi.org/papers/IJCSl-8-2-444-448.pdf 

Clare E. Nelson - Security Metrics: An Overview, ISSA Journal, 2010; 
http://www.issa.org/images/upload/files/Nelson-Securityv?e20Metrics-An9620Overview.pdf 

Catalin Boja, Mihai Doinea - Security Assessment of Web Based Distributed Applications, 
Informatica Economicá vol. 14, no. 1/2010; 
http://revistaie.ase.ro/content/53/16%20Boja,%20Doinea.pdf 

US Department of Defence - Information Assurance Technology Analysis Center (IATAC) - State-of- 
the-Art Report Measuring Cyber Security and Information Assurance, 2009; 
https://www.mocana.com/pdfs/iatac-measuring_cyber_security_and_information_assurance.pdf 
Vilhelm Verendel - Quantified security is a weak hypothesis: a critical survey of results and 
assumptions, NSPW '09 Proceedings of the 2009 workshop on New security paradigms workshop, 
ACM New York, NY, USA, 2009 

http://dl.acm.org/citation.cfm ?id=1719030.1719036&coll=-DL&dI=GUIDE&CFID=459243258&CFTOKE 
N=73201276 

Anoop Singhal, Xinming Ou - Techniques for enterprise network security metrics, Proceedings of the 
5th Annual Workshop on Cyber Security and Information Intelligence Research Cyber Security and 
Information Intelligence Challenges and Strategies CSIIRW 09, ACM Press, 2009 
http:/Awww.mendeley.com/research/ccd-neural-network-processors-for-pattern-recognition/ 
Antonietta Stango, Neeli R. Prasad, Dimitris M. Kyriazanos - A Threat Analysis Methodology for 
Security Evaluation and Enhancement Planning, Emerging Security Information, Systems and 
Technologies, SECURWARE '09, 2009; 
http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?reload=true&arnumber=52 10987 

Meiring De Villiers - Reasonable Foreseeability in Information Security Law: A Forensic Analysis, 
Hastings Communications and Entertainment Law Journal, Australia, 2008 
http://www.law.unsw.edu.au/staff/devilliersm/docs/Reasonable Foreseeability In Information Secur 
ity Law A Forensic Analysis.pdf 

Gordon Housworth - Structured IT risk remediation: Integrating security metrics and Design Basis 
Threat to overcome scenario spinning and fear mongering, |CG, 2007 
http://spaces.icgpartners.com/index2.asp?page=4&category=6E687EFC376F4D04AD504AB754372 
2E6 
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Motto: Totul se transforma, nimic nu se pierde! 
- Ovidius 


CAPITOLUL 7 


CONCLUZII FINALE SI ABORDARI VIITOARE 


Elaborarea tezei de doctorat a reprezentat rodul unei cercetári desfasurate pe durata a 
peste 10 ani in domeniul securitatii informatice, avánd ca scop integrarea multiplelor 
tehnologii din sfera securitatii, dezvoltarea de procese si modele de securitate care sa 
permita un ráspuns adecvat la schimbárile din plan tehnologic si organizational, 
identificarea limitárilor existente in sistemele si procesele de securitate, si evaluarea 
oportunitatilor oferite de noi cercetári pentru a imbunatati tehnologiile si procesele 
utilizate în asigurarea securităţii operaţionale a organizaţiilor. 


Internet-ul reprezintă cel mai amplu proiect creat vreodată de civilizația umană, 
societatea modernă informaţională reprezentând deja o realitate. Inceput ca un proiect 
de cercetare în urmă cu patru decenii, Internet-ul devine pe zi ce trece o „oglindă” cât 
mai fidelă a societății umane, multe din relaţiile sociale, economice, politice, culturale 
transpunându-se pe această infrastructură informaţională [PPBC98]. In aceste 
circumstanțe, securitatea informaţională a devenit una din componentele majore si 


vitale pentru buna operare ale Internet-ului. 


Securitatea este un proces dinamic care trebuie să răspundă eficient noilor 
vulnerabilitáti, ameninţări, precum şi schimbărilor constante care au loc în mediul de 
operare. O abordare de succes va combina elemente de natură tehnologică, 
procesuală şi umană, prin utilizarea unui proces structurat ce integrează securitatea 
informaţiei şi activitatea de management a riscurilor în ciclul de viata al dezvoltării 
sistemelor. 


Progresul realizat în zona securizării tehnologiilor şi infrastructurii Internetului a avut ca 
rezultat o repozitionare a strategiilor utilizate de elementele spaţiului de ameninţare. 
Migrarea a tot mai multor aplicaţii pe web, inclusiv a celor disponibile pe telefoanele 
inteligente, precum şi disponibilitatea a tot mai multor informaţii despre utilizatori pe 
site-urile de socializare, a creat noi oportunităţi pentru atacatori, majoritatea vectorilor 
de atac folosiţi în prezent vizând vulnerabilitáti în aceste zone. 


În condiţiile actuale, riscurile datorate vulnerabilitátilor de securitate aparţin în principal 
utilizatorilor, ele fiind un element auxiliar pentru cei ce le produc (furnizorii de hardware 
software, sau servicii IT). In mod uzual, odată ce o vulnerabilitate este identificată, 
producătorul oferă mai repede sau mai târziu un remediu, însă utilizatorul tehnologiei 
suportă toate costurile urmărilor unui atac. Acest model nu oferă motivaţie pentru 
producători în investiţia de resurse pentru a securiza tehnologia încă din fazele de 
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proiectare, strategia producătorilor fiind in principal orientată spre funcţionalitatea 
„vizibilă”, care asigură vânzarea produsului sau soluției. In acest context, este de 
aşteptat ca prezenţa unui număr mare, şi în continuă creştere de producători pe piaţa 
aplicaţiilor, să determine un număr ridicat de vulnerabilitáti, şi implicit de riscuri pentru 
utilizatori şi organizații. 


Mai mult, schimbările din mediul organizaţiei sau cel social pot genera noi riscuri. Spre 
exemplu, noua lege în domeniul sănătăţii din SUA promovează ca modalitate de 
reducere a costurilor, utilizarea înregistrărilor medicale în format digital, şi efectuarea 
de tranzacţii digitale între furnizorii de servicii medicale (doctori, farmacii, laboratoare, 
case de asigurări, angajatori, departamentele de sănătate publică ale statului). Această 
schimbare va constitui o oportunitate pentru atacatori, având în vedere numărul mare 
de elemente ale acestui ecosistem, precum şi faptul că multe oficii medicale nu au 
experienţă în zona securităţii, sau utilizării într-un context securizat a tehnologiilor. 


O soluţie de adresare a acestor riscuri permanente într-o manieră proactivă, şi chiar 
anticipativă o reprezintă monitorizarea securității. Monitorizarea securităţii reprezintă 
procesul care permite identificarea schimbărilor din spaţiul vulnerabilitátilor si 
amenințărilor, precum şi menţinerea unei vizibilitáti continue asupra eficacitátii politicii şi 
controalelor de securitate implementate. 


Deşi conceptul de monitorizare a securităţii a fost lansat de ceva vreme, iar unele 
companii oferă soluţii ce monitorizează unele componente precum  intruziuni, 
vulnerabilitati, conformitate cu anumite reglementări, existența unor abordări de 
monitorizare unitare şi globale a întreg spectrului de informaţii cu relevanţă de 
securitate este încă în faze incipiente. Lucrarea de fata abordează în premiera 
aspectele complexe din sfera monitorizării securităţii, oferind o perspectivă unitară şi 
globală asupra procesului, tehnologiilor, modului de implementare. Aceasta poate fi un 
ghid util pentru organizaţii în înțelegerea problematicii complexe de securitate actuală, 
precum şi în elaborarea unui program de monitorizare şi implementarea acestuia. 


Conform simbolisticii taoiste Yin-Yang [Wik11], legate de împletirea inevitabilă a 
dualității existente în toate lucrurile din natură, este de anticipat că monitorizarea 
securităţii nu reprezintă soluția „perfectă” în adresarea problemelor de securitate ale 
organizaţiei, aducând pe lângă beneficiile discutate şi unele riscuri cum ar fi cel de 
acces neautorizat, sau de utilizare abuzivă a datelor de monitorizare. Organizaţia va 
trebui să adreseze aceste riscuri prin măsuri tehnologice şi procedurale care să 
asigure: securitatea datelor de monitorizare colectate, controlul şi monitorizarea 
accesului la aceste date, anonimizarea acestora când sunt utilizate pentru cercetare 
sau partajate cu alte organizații, verificarea regulată a personalului care are acces la 
date, disciplină în execuţia procesului. 


În final, se prezintă în sinteză, problematica abordată în cadrul tezei: 
e motivația şi definirea alegerii temei, precum şi a direcțiilor de cercetare ştiinţifică; 
e studiul vulnerabilitátilor în spaţiul virtual 
e definirea unui cadru pentru detecția intruziunilor si a procesului de monitorizare 
asociat acestuia. 


e studiul atacurilor asupra infrastructurii Internet-ului 
e schematizarea atacurilor tipice pe bază de mesaje de poştă 
e analiza comparativă a tehnicilor de scanare utilizate în propagarea viermilor 
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e elaborarea unui cadru pentru definirea de metrici de securitate. 

e prezentarea cadrului pentru partajarea informaţiilor de intruziune la nivel global. 

e definirea unui model de monitorizare completa a securităţii. 

e evaluarea tehnologiilor de culegere a datelor utilizate în procesul de monitorizare 
a securității. 

e studiu comparativ asupra tehnologiilor de detecție a intruziunilor şi a 
implementărilor de sisteme IDS. 

e abordări în monitorizarea spaţiului de amenințări pe baza datelor publice oferite 
de sistemele de monitorizare globală în Internet. 

e prezentarea unei arhitecturi generice de monitorizare a securitati 

e studiu asupra tehnicilor de corelație a datelor în procesul de monitorizare a 
securității. 

e studiu asupra eforturilor de standardizare în vederea asigurării interoperabilitatii 
elementelor arhitecturii. 

e construirea unui cadru de identificare a imperfectiunii datelor din sfera 
monitorizării securității. 

e studiul unor noi modele matematice pentru eficientizarea monitorizării securității, 
şi construirea unui model experimental de evaluare a aplicabilitatii TDSm în 
monitorizarea securității 


e contribuţii personale şi rezultate științifice obținute în cadrul elaborării tezei. 


Contribuțiile personale şi rezultatele obţinute oferă satisfacția necesară şi creează 
premisele pentru continuarea şi dezvoltarea activităţii în această direcţie, în special 
pentru optimizarea tehnologiilor şi proceselor de monitorizare a securităţii. Astfel, în 
cadrul unor proiecte de cercetare ştiinţifică se află în diferite faze de studiu şi de 
cercetare următoarele teme: 
e evaluarea riscurilor la adresa securității şi libertăţilor utilizatorilor ca urmare a 
tendinței de concentrare masivă a datelor personale, sau care permit 


oa: 


sociale, înregistrări ale tranzacţiilor financiare, medicale, etc.) 

e studiul caracteristicilor specifice de monitorizare a securităţii în medii de calcul 
virtuale (cloud computing) 

e evaluarea extinderii procesului de monitorizare pentru a adresa probleme 
specifice scurgerilor accidentale sau sustragerilor de date 

e studiul eficacitátii utilizării TDSm în combinarea datelor de alertă a intruziunilor 
provenind din mai multe surse eterogene (HIDS, NIDS) 

e construirea de metrici pentru un program de prevenire a pierderilor de date 


Rezultatele acestor cercetări vor fi comunicate în jurnale, sau conferinţe de specialitate, 
iar contribuţiile personale şi rezultatele ştiinţifice obţinute, cât si cele viitoare, vor face 
subiectul unei cărţi referitoare la monitorizarea securităţii în Internet. 


Teza a tratat problematica monitorizării securităţii rețelelor şi sistemelor conectate la 
Internet pe baza studierii unei bibliografii bogate, prin efectuarea de experimente 
practice, analize de date şi prin obţinerea de contribuţii personale şi de rezultate 
ştiinţifice în domeniul securităţii informatice, domeniu de importanţă capitală pentru 
asigurarea bunei functionári a unei infrastructuri de bază a societăţii umane - Internetul. 
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